Palo Alto Networks Birimi 42’nin yakın tarihli bir keşfi, İnternet Bilgi Hizmetleri (IIS) sunucularını hedefleyen gelişmiş kötü amaçlı yazılımlara ışık tuttu.
Kötü amaçlı yazılım yazarları için nadir bir seçim olan C ++/CLI’de geliştirilen bu kötü amaçlı yazılım, CMD.EXE’nin tespitten kaçınma davranışını taklit etmek için tasarlanmıştır.
Kötü amaçlı yazılım pasif bir arka kapı olarak çalışır ve HTTP yanıt etkinliklerine kaydolarak IIS sunucusuna entegre olur.
Komutları yürütmek için kullanılan belirli başlıklar için gelen HTTP isteklerini filtreler.
Komutlar ve veriler AE’ler kullanılarak şifrelenir ve daha sonra Base64 kodlu, operasyonlarına bir karmaşıklık katmanı eklenir.
Teknik analiz
Kötü amaçlı yazılımın her ikisi de Tayland’dan Virustotal’a yüklenen iki versiyonu vardır.
9 Mayıs 2023’te derlenen daha yeni sürüm, komutları yürütmek için özel bir CMD.EXE sarmalayıcı aracı kullanır ve IIS işleminden doğrudan CMD.EXE çağırma işleminden kaçınarak faaliyetlerinin görünürlüğünü azaltır.
Bu sargı uygulaması, kötü amaçlı yazılımın içine gömülüdür ve komut satırı komutlarını komut ve kontrol (C2) sunucusundan ve geri dönüş sonuçlarından yönlendirmesine olanak tanıyan adlandırılmış bir boru aracılığıyla iletişim kurar.
Kötü amaçlı yazılım, dosya yönetimi, süreç yürütme ve sistem bilgilerinin alımı dahil olmak üzere bir dizi komutu destekler.
Rapora göre, güvenlik yazılımı tarafından algılamadan kaçınmak için AMSI ve ETW rutinlerini de yamalıyor.
Bu kötü amaçlı yazılım için C ++/CLI kullanımı, kötü amaçlı yazılım manzarasındaki nadirliği nedeniyle dikkat çekicidir.
Bu seçim muhtemelen dilin yönetilen ve yönetilmeyen kodu birleştirme yeteneğinden kaynaklanmaktadır ve analizi daha zor hale getirir.
Kötü amaçlı yazılımların sofistike ve hedefli doğası, belirli saldırılarda kullanılmış olabileceğini düşündürmektedir, ancak bilinen bir tehdit oyuncusuna atfedilmesi zor olmaya devam etmektedir.
Tespit ve koruma
Palo Alto Networks’ün Gelişmiş Orman Fire ve Cortex XDR/XSIAM Solutions, bellek analizi ve davranışsal tehdit korumasından yararlanarak bu kötü amaçlı yazılımlara karşı gelişmiş koruma sunar.
Bu araçlar, bu tür sofistike tehditlere karşı sağlam bir savunma mekanizması sağlayarak bilinen hem de bilinmeyen kötü amaçlı yazılımları tanımlayabilir ve engelleyebilir.
Siber güvenlik manzarası gelişmeye devam ettikçe, ortaya çıkan tehditler hakkında bilgi sahibi kalmak ve gelişmiş güvenlik çözümleri kullanmak, altyapılarını korumak isteyen kuruluşlar için çok önemlidir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.