Siber güvenlik araştırmacıları, saldırganların Windows sistemleri üzerinde kapsamlı bir gözetim ve kontrol oluşturmalarını sağlayan Duplexspy Rat adlı sofistike yeni bir uzaktan erişim Truva atı belirlediler.
Bu çok işlevli kötü amaçlı yazılım, hedef makineleri tehlikeye atmak isteyen siber suçlular için teknik engeli önemli ölçüde düşüren modüler, GUI odaklı tehditlerde artan bir eğilimi temsil etmektedir.
Temiz bir grafik arayüzü ve yapılandırılabilir seçeneklerle C# ‘da geliştirilen kötü amaçlı yazılım, operatörlerin Windows Internals ile derin entegrasyonu sürdürürken saldırıları minimal kodlama bilgisi ile uyarlamasına olanak tanır.
.png
)
Duplexspy Rat, enfekte olmuş ana bilgisayarlar ve komut ve kontrol sunucuları arasındaki iletişimi sağlamak için hem AES-256-CBC hem de RSA-4096 algoritmalarını kullanarak gelişmiş şifreleme teknikleri kullanır ve ağ algılama mekanizmalarından etkili bir şekilde kaçar.
.webp)
Cyfirma analistleri, aracın geliştirici ISSAC/ISS4CF0NG tarafından GitHub’da kamuya açıklandığını, görünüşte “eğitim amaçlı”, çok yönlülüğü ve özelleştirme kolaylığı, tehdit aktörleri tarafından kötü niyetli kullanımı için son derece cazip hale getirdiğini belirledi.
Sıçanın tasarımı, hem hücum araçları hem de Windows mimarisinin sofistike bir anlayışını yansıtır ve saldırganların tespit edilmesini önlemek için meşru sistem süreçlerini taklit ederken kalıcı arka fırın kurmalarını sağlar.
Kötü amaçlı yazılımların etkisi, tuş vuruşu günlüğü, gerçek zamanlı ekran yakalama, web kamerası ve mikrofon izleme ve etkileşimli komut kabuğu erişimi gibi kapsamlı gözetim özelliklerini içeren geleneksel uzaktan erişim özelliklerinin çok ötesine uzanır.
.webp)
Bu yetenekler, uzlaşmış sistemleri kapsamlı gözetim platformlarına dönüştürerek saldırganların kullanıcı etkinliklerini izlemesine, hassas bilgileri yakalamasına ve hedef ortamlara uzun vadeli erişimi sürdürmesine olanak tanır.
Sofistike kalıcılık ve gizli mekanizmalar
Duplexspy Rat, sistem yeniden başlatmalarında ve potansiyel temizlik girişimlerinde hayatta kalmayı sağlayan çok katmanlı bir kalıcılık stratejisi kullanır.
Kötü amaçlı yazılım, aynı anda karşılık gelen kayıt defteri girişlerini oluştururken, aldatıcı “Windows Update.exe” adı altında kullanıcının başlangıç klasörüne kopyalayarak çift yönlü bir yaklaşım uygular.
Kalıcılık mekanizması, kötü amaçlı yazılımın sofistike yükleyici rutinlerini yürüttüğü başlatma sırasında başlar. Kod bu yaklaşımı gösterir:-
installer.m_szStartUpName = Environment.ExpandEnvironmentVariables(Path.Combine(Environment.GetFolderPath(Environment.SpecialFolder.Startup), _szCopyStartup));
installer.m_bReg = _bReg;
installer.m_szRegKeyName = m_szRegKeyName;Bu yükleme işlemi, kötü amaçlı yazılımları Windows başlangıç dizinine “C: \ Users \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programlar \ Startup” adresindeki “HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Currentersion \ Run” altında “Windows Update” anahtar adıyla bir kayıt defteri girişi oluşturur.
Bu ikili kalıcılık, birden çok vektör aracılığıyla sistem önyükleme üzerine otomatik yürütme sağlar.
.webp)
Kötü amaçlı yazılım, sofistike anti-analiz yeteneklerini uygulayarak gizli profilini daha da geliştirir.
Güvenlik araçlarını ve analiz uygulamalarını hedefleyerek sistem işlemlerini 100 milyon saniye aralıklarında aktif olarak izler.
Güvenlik yazılımı tespit edildiğinde, Duplexspy, kullanıcıları yanlış yönlendirmek ve soruşturmayı önlemek için “user32.dll” gibi bozuk sistem dosyalarına başvuran aldatıcı hata mesajları görüntülerken bu işlemleri sonlandırır.
Ek olarak, sıçan, kendini doğrudan belleğe yükleyerek ve daha sonra orijinal yürütülebilir dosyayı diskten silerek, filelessiz yürütme teknikleri kullanır.
Bu yaklaşım, yürütülebilir dosyayı belleğe okuyan, yürütme iş parçacıkları oluşturan ve kendi kendini yok etme rutinlerini tetikleyen LoadTomemory () yönteminde gösterildiği gibi minimal adli izler bırakır.
Kötü amaçlı yazılımların, kayıt defteri modifikasyonları ve başlangıç klasör yerleştirme yoluyla kalıcılığı korurken tamamen bellekte çalışabilme yeteneği, geleneksel algılama yöntemlerine meydan okuyan sofistike bir kaçış stratejisini temsil eder.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği