Siber güvenlik araştırmacıları, modern uç nokta korumasından kaçmak için ticari bir çözüm olarak pazarlanan, karanlık web forumlarında reklamı yapılan, ileri düzeyde gelişmiş yeni bir kötü amaçlı yazılım yükleyicisinin farkına vardı.
InternalWhisper x ImpactSolutions adlı araç, “ImpactSolutions” olarak bilinen bir tehdit aktörü tarafından tanıtılıyor.
Satıcı, crypter’ın her yapı için kod yapısının çoğunu yeniden yazabilen yapay zeka odaklı bir metamorfik motor kullandığını iddia ediyor.
İddiaya göre bu işlevsellik, Windows Defender’ı ve diğer önemli antivirüs çözümlerini atlayabilen, tamamen benzersiz, imzasız ikili dosyaları kaydediyor ve uzun süre boyunca “Tamamen Tespit Edilemez” (FUD) durumunu koruyor.
Forum reklamına göre InternalWhisper’ın temel yeniliği “Metamorfik Yapay Zeka Motoru”dur.
Yükü şifreleyen ve şifre çözme anahtarını değiştiren geleneksel polimorfik paketleyicilerin aksine, metamorfik bir motor, işlevini korurken temeldeki kod mantığını tamamen yeniden düzenler.
Tehdit aktörü, motorun “her yapıdaki kodun %99’unu yeniden yazdığını” ve oluşturulan iki dosyanın aynı dosya imzasını veya yapısal kalıpları paylaşmamasını sağladığını belirtiyor.
Bu yaklaşım, bilinen kötü amaçlı kod bölümlerinin belirlenmesine dayanan statik analiz motorlarını ve imza tabanlı algılama sistemlerini alt etmek için tasarlanmıştır.
Hizmet, otomatik web tabanlı bir panel aracılığıyla sağlanarak müşterilerin saniyeler içinde korumalı yapılar oluşturmasına olanak tanır.
Teknik Yetenekler ve Kaçınma
Şifreleyicinin x86 ve x64 Windows mimarilerinde hem yerel (C/C++) hem de .NET ikili dosyalarını desteklediği bildiriliyor. Reklamda, kötü amaçlı yazılımın meşru yazılım bileşenleriyle harmanlanmasına yardımcı olan 100-200 KB’lik hafif bir taslak boyutu vurgulanıyor.
Reklamı yapılan temel teknik özellikler şunları içerir:
- Çalışma Zamanı Şifrelemesi: Yükler, AES-256 şifrelemesi kullanılarak güvence altına alınır ve dizeler derleme zamanında şifrelenir; tersine mühendisliği önlemek için yalnızca yürütme sırasında şifre çözülür.
- Gizli Yükleme Teknikleri: Araç, EDR çözümleri tarafından kullanılan kullanıcı modu kancalarını atlamak için doğrudan sistem çağrıları (sistem çağrıları) ve yasal olarak askıya alınmış işlemlere kötü amaçlı kod enjekte etmek için işlem boşaltma dahil olmak üzere birden fazla yükleme yöntemi sunar.
- İmzalı İkili Yan Yükleme: Kötü amaçlı etkinlikleri daha da maskelemek için şifreleyici, meşru, Microsoft imzalı yürütülebilir dosyaları kullanan yandan yükleme tekniklerini destekler. Bu yöntem, imzasız kötü amaçlı kod yürütmek için işletim sistemlerinin doğrulanmış sertifikalara olan güvenini kötüye kullanır.
Kaçırmanın Ticarileştirilmesi
Teklif, InternalWhisper’ı profesyonel bir “Hizmet Olarak Kötü Amaçlı Yazılım” (MaaS) ürünü olarak konumlandırıyor. Tehdit aktörü, kademeli fiyatlandırma planları sunuyor ve müşteri desteğini vurguluyor; bu da siber suç ortaklarının tekrar eden işlerine odaklanıldığının sinyalini veriyor.
Operasyonel güvenliği amaçlayan ek özellikler arasında sanal alanları veya sanal makineleri tespit eden analiz karşıtı kontroller, meşru dosyaları taklit etmek için meta veri sahtekarlığı ve sertifika klonlaması yer alır.
InternalWhisper gibi hizmetler, gelişmiş kaçırma tekniklerinin önündeki teknik engeli azaltarak, daha az vasıflı tehdit aktörlerinin karmaşık kurumsal savunmaları aşabilecek kötü amaçlı yazılımları dağıtmasına olanak tanır.
Statik imzaların bu nitelikteki metamorfik tehditlere karşı etkili olma olasılığı düşük olduğundan, güvenlik ekiplerine, eşlenmemiş kod yürütmeyi ve şüpheli bellek ayırma modellerini izlemek gibi davranışsal tespit yöntemlerine odaklanmaları tavsiye edilir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.