Yavaş#Tempest Hacker’lar, tespit sistemlerini atlamak için yeni kaçırma taktiklerini benimsiyor

Güvenlik araştırmacıları, tehdit aktörlerinin algılamadan kaçınmak ve analizden kaçınmak için yenilikçi gizleme yöntemleri kullandıkları yavaş yavaş kötü amaçlı yazılım kampanyasında sofistike bir evrimi ortaya çıkardılar.

İyi huylu ve kötü niyetli bileşenlerin bir karışımını içeren bir ISO dosyası aracılığıyla dağıtılan bu varyant, Zlibwapi.dll adlı kötü niyetli bir DLL yüklemek için meşru bir İmzalı ikili DingTalk.exe aracılığıyla dll ile yüklenir.

Bu yükleyici DLL, IPC_CORE.dll olan başka bir dosyaya eklenen gömülü bir yükü şifresini çözer ve yürütür ve kötü amaçlı yürütmenin yalnızca her iki öğenin mevcut olduğunda gerçekleşmesini sağlar.

Dinamik atlamalar ve gizlenmiş fonksiyon çağrıları yoluyla kontrol akışı grafiği (CFG) gizlemesi de dahil olmak üzere kampanyanın taktikleri, statik ve dinamik analizi önemli ölçüde engeller, güvenlik uygulayıcılarını kodu parçalara ayırma için ileri öykünme ve komut dosyası kullanmaya zorlar.

Gelişmiş gizleme teknikleri

CFG gizleme alanında, kötü amaçlı yazılım, hedef adreslerin kayıt değerlerine, bellek içeriğine ve sıfır bayrak (ZF) ve taşıma bayrağı (CF) gibi CPU bayraklarına göre çalışma zamanında hesaplandığı JMP rax talimatları gibi dinamik atlamalar kullanır.

Bu atlamalar, öngörülebilir yürütme yollarını bozar ve tamamlanmamış sahte kod üreterek altıgen ışınları gibi geleneksel ayrışçıları etkisiz hale getirir.

Analistler, koşullu hareketler (örn. CMOVNZ) veya setler (örn. SETNL) yoluyla iki yönlü dallanmayı uygulayan her atlamadan önceki dokuz talimatın dispatchers dizilerini tanımlamak için Idapython komut dosyalarını kullanarak buna karşı koydu.

Bu görevlileri tek boynuzlu at çerçevesi ile taklit ederek, araştırmacılar hem gerçek hem de yanlış dal destinasyonlarını ortaya çıkarmak için gönderen başına iki kez bayt kodları ve simüle edilmiş uygulamaları çıkardılar.

Rapora göre, IDA Pro veritabanının doğrudan atlamalarla yamalanması, orijinal kontrol akışını geri yükleyerek tam ayrışmayı sağladı ve daha fazla kaçaklama katmanını ortaya çıkardı.

Bu konuda, gizlenmiş işlev, çalışma zamanındaki adresleri dinamik olarak çözerek, genellikle çağrı rax ile çağrılan, GlobalMemoryStatusex gibi Windows API’sini gizleyen kötü amaçlı yazılımların niyetini daha fazla maskeliyor.

Bu teknik, statik analiz sırasında kötü niyetli davranışların derhal tanımlanmasını önler.

Benzer bir emülasyon stratejisi kullanan komut dosyaları, bu çağrı hedeflerini çözdü ve IDA Pro’daki Callee adreslerini ayarlayarak fonksiyon argümanlarının otomatik olarak etiketlenmesine ve değişken yeniden adlandırmaya izin verdi.

Deobfuscation sonrası, yükleyici DLL’nin temel işlevselliği net bir şekilde ortaya çıktı: bir sandbox önleme kontrolü gerçekleştirir, yalnızca sistemin bellekte yükü açıp yürütmeden önce sistemin en az 6 GB RAM’si varsa devam eder.

Bu tür kontroller, analiz ortamları ve gerçek hedefler arasındaki kaynak eşitsizliklerinden yararlanır ve gizliliği artırır.

Siber güvenlik için çıkarımlar

Yavaş#Tempest kampanyası, dinamik kaçırma taktiklerinin imza tabanlı tespitlere meydan okuduğu ve hibrid statik-dinamik yaklaşımlar gerektirdiği kötü amaçlı yazılım gelişiminde artan silah yarışının altını çiziyor.

Bu bilgileri siber tehdit ittifakı yoluyla paylaşarak, kuruluşlar, Palo Alto Networks’ün davranışsal analiz yoluyla gelişmiş orman yangını algılama gibi araçlarla ve Cortex XDR/XSIAM gibi araçlarla makine öğrenimi ve kabuk kodu modülleri yoluyla yürütmeleri engelleyebilir.

Potansiyel uzlaşmalar için olay müdahale ekipleriyle derhal temas önerilmektedir.

Bu analiz sadece kötü amaçlı yazılımların anti-analiz cephaneliğini kötüleştirmekle kalmaz, aynı zamanda savunucuları, emülasyon betiği gibi eyleme geçirilebilir yöntemlerle, giderek daha karmaşık bir şekilde siber saldırılar çağındaki benzer tehditlere karşı koymak için de donatır.

Uzlaşma Göstergeleri (IOCS)

Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.