En masum görünümlü görüntünün, nefes kesici bir manzara veya komik bir memenin içinde, tehlikeli bir şey saklanabilir, grev yapmasını beklerdi.
Garip dosya adı yok. Antivirüs uyarısı yok. Sadece zararsız bir resim, veri çalabilecek, kötü amaçlı yazılım yürütebilecek ve sisteminizi iz bırakmadan devralabilen bir yükü gizlice gizleyin.
Bu, zararsız görünümlü dosyaların içinde kötü niyetli kodları gizlemek için siber suçlu bir silah olan steganografi. Veri görüntülere yerleştirerek, saldırganlar gizli yükü çıkarmak ve yürütmek için ayrı komut dosyalarına veya işlemlere dayanarak algılamadan kaçınır.
Bunun nasıl çalıştığını, neden bu kadar tehlikeli olduğunu ve en önemlisi, çok geç olmadan nasıl durdurulacağını bozalım.
Siber güvenlikte steganografi nedir?
Steganografi, başka bir dosya veya ortam içinde verileri gizleme uygulamasıdır. Steganografi, zararsız görünümlü görüntüler, videolar veya ses dosyaları içindeki kötü amaçlı kodları gizleyerek geleneksel güvenlik araçları için neredeyse görünmez hale getiren steganografi, verileri okunamaz hale getirmek için veri karıştıran şifrelemenin aksine.
Siber saldırılarda, rakipler yükleri daha sonra kurbanın sisteminde çıkarılan ve yürütülen görüntü dosyalarına yerleştirir.
Siber suçlular neden steganografi kullanıyor:
- Güvenlik Araçlarından Kaçınma: Görüntülerin içindeki gizli kod, antivirüs ve güvenlik duvarlarını atlar.
- Şüpheli dosya yok: Saldırganların belirgin yürütülebilir dosyalara ihtiyacı yoktur.
- Düşük algılama oranı: Geleneksel güvenlik taramaları nadiren kötü amaçlı yazılımlar için inceleyin.
- Gizli yük teslimatı: Kötü amaçlı yazılım çıkarılana ve yürütülene kadar gizli kalır.
- E -posta filtrelerini atlar: Kötü niyetli görüntüler standart kimlik avı tespitlerini tetiklemez.
- Çok yönlü saldırı yöntemi: Kimlik avı, kötü amaçlı yazılım teslimi ve veri açığa çıkmasında kullanılabilir.
Xworm, tespitten kaçınmak için nasıl steganografi kullanıyor?
Any. Run interaktif kum havuzu içinde analiz edilen bir kötü amaçlı yazılım kampanyasına bir göz atalım.
Xworm ile Analiz Oturumunu Görüntüle
 |
| Steganografi Kampanyası Bir Kimlik Avı PDF ile başlayarak |
1. Adım: Saldırı bir kimlik avı ile başlar PDF
Her şeyin bir PDF eki ile başladığını sandBox oturumunda görüyoruz. Belge, kullanıcıları bir .reG dosyası (Windows Registry dosyası) indirmeye yönlendiren kötü amaçlı bir bağlantı içerir.
Gizli tehditleri ortaya çıkarmak, tehdit tespitini geliştirmek ve işinizi sofistike saldırılara karşı proaktif olarak savunmak için herhangi bir kişinin gelişmiş özelliklerini keşfedin.
Herhangi birini deneyin. Şimdi
İlk bakışta, bu tehlikeli görünmeyebilir. Ancak dosyayı açmak, bilgisayar yeniden başladığında otomatik olarak yürütülen gizli bir komut dosyası ekerek sistem kayıt defterini değiştirir.
 |
| Registy’yi herhangi bir içinde değiştirmek için kullanılan. |
2. Adım: Kayıt Defteri Komut Dosyası Gizli Bir Başlatma İşlemi Ekler
.REG dosyası yürütüldükten sonra, Windows Autorun kayıt defteri tuşuna sessizce bir komut dosyası enjekte eder. Bu, kötü amaçlı yazılımın bir dahaki sefere yeniden başlatıldığında başlatılmasını sağlar.
Bu aşamada, henüz gerçek bir kötü amaçlı yazılım indirilmedi, sadece etkinleştirme bekleyen uykuda bir komut dosyası. Saldırıyı bu kadar sinsi yapan da bu.
 |
| Herhangi bir kişi tarafından tespit edilen kayıt defterinde otomatik değer değişikliği |
Adım 3: Powershell infaz
Bir sistem yeniden başlatıldıktan sonra, kayıt defteri komut dosyası, uzak bir sunucudan bir VBS dosyasını indiren PowerShell’i tetikler.
Run Sandbox’ın içinde, bu işlem ekranın sağ tarafında görülebilir. PowerShell.exe’yi tıklatarak indirilen dosya adını açıklar.
 |
| PowerShell.exe Güvenli bir ortamda bir VBS dosyasını indirme |
Bu aşamada, belirgin bir kötü amaçlı yazılım yok, sadece zararsız bir dosya gibi görünen bir komut dosyası. Bununla birlikte, gerçek tehdit, bir görüntünün içindeki yükü gizlemek için steganografinin kullanıldığı bir sonraki adımda gizlenir.
4. Adım: Steganografi Aktivasyonu
Yürütülebilir bir dosyayı indirmek yerine, VBS komut dosyası bir görüntü dosyası alır. Ancak bu görüntünün içinde gizlenmiş bir kötü niyetli DLL yüküdür.
 |
| Herhangi bir kişi tarafından tespit edilen kötü niyetli DLL yüklü görüntü. |
Ofset kullanma 000d3d80 herhangi bir.Run içinde, kötü amaçlı DLL’nin görüntü dosyasına gömüldüğünü belirleyebiliriz.
 |
| Kötü niyetli görüntünün statik analizi |
Statik analiz üzerine görüntü meşru görünür, ancak altıgen sekmesini incelediğimizde ve aşağı kaydırdığımızda,
Bu bayraktan hemen sonra, yürütülebilir bir dosyanın Base64 kodlu MZ imzasını “TVQ” görüyoruz. Bu, steganografinin görüntünün içindeki Xworm yükünü gizlemek için kullanıldığını doğrular ve çıkarılana ve yürütülene kadar güvenlik algılamasını atlamasına izin verir.
Adım 5: Xworm sistemin içine dağıtıldı
Saldırının son adımı, Xworm’u AddInProcess32 sistem işlemine enjekte eden çıkarılan DLL’nin yürütülmesini içerir.
 |
| Xworm kötü amaçlı yazılım, herhangi biri tarafından algılandı. Run Sandbox |
Bu noktada, saldırgan enfekte makineye uzaktan erişim kazanarak aşağıdakileri sağlar:
- Hassas veriler çal
- Komutları uzaktan yürüt
- Ek kötü amaçlı yazılım dağıtım
- Enfekte sistemi daha fazla saldırı için bir başlatma noktası olarak kullanın
Gizli tehditleri vurmadan önce ortaya çıkar
Steganografi tabanlı saldırılar, geleneksel güvenlik araçları genellikle görüntüler ve diğer medya dosyaları içindeki gizli kötü amaçlı yazılımları göz ardı ettiği için işletmeler için artan bir zorluktur. Bu, siber suçluların alarmları tetiklemeden tespiti atlamasına, verileri çalmasına ve sistemlere sızmasına izin verir.
Run’un etkileşimli sanal alanları gibi araçlarla, güvenlik ekipleri bir saldırının her aşamasını görsel olarak izleyebilir, gizli yükleri ortaya çıkarabilir ve şüpheli dosyaları gerçek zamanlı olarak analiz edebilir:
- Hızlı tehdit analizi ile zamandan tasarruf edin: İlk sonuçları sadece 10 saniyede alın ve tehdit değerlendirme sürecinizi kolaylaştırın.
- Verimli işbirliği yapın: Sonuçları anında paylaşın ve ekip görevlerini hızlandırmak için gerçek zamanlı oturumlarda birlikte çalışın.
- Araştırmaları basitleştirin: İş yükünü azaltmak ve üretkenliği artırmak için herhangi bir.Run’un sezgisel arayüzünü ve gerçek zamanlı işaretlemeyi kullanın.
- Eylem edilebilir bilgiler kazanın: Etkili triyaj, yanıt ve tehdit avı için çıkarılan IOC’ler ve MITER ATT & CK haritalamasından yararlanın.
- Yanıtı Geliştirin: Daha etkili yükselme için kapsamlı raporlarla SOC Tier 1’den SOC Tier 2’ye veri aktarımını geliştirin.
Şüpheli aktiviteyi proaktif olarak izlemek ve kontrollü bir ortamda potansiyel tehditlerin test edilmesi, siber güvenlik duruşunuzu güçlendirmenin anahtarıdır.
Herhangi birini deneyin.