Any.Run analistleri yakın zamanda DBatloader olarak bilinen bir yükleyici kötü amaçlı yazılım aracılığıyla Remcos Rat’ı (uzaktan erişim Truva atı) teslim eden gizli bir kimlik avı kampanyası ortaya çıkardı. Bu saldırı zinciri, geleneksel algılama yöntemlerinden gizlenmiş kalmak için gizlenmiş komut dosyalarının, kullanıcı hesabı kontrolü (UAC) baypas ve lolbas (karara ikili ve komut dosyaları) istismarına dayanmaktadır.
Bu kampanyayı özellikle tehlikeli kılan şey, yerleşik Windows araçlarını ve güvenilir sistem süreçlerini normal aktivite ile karıştırmak için kullanmasıdır, bu da sadece imzaları yakalamayı çok zorlaştırır.
Tam enfeksiyon zincirinden geçelim ve doğru analiz çözümleri yardımıyla bu teknikleri saniyeler içinde nasıl güvenli bir şekilde tespit edebileceğinizi görelim.
Tam saldırı zincirinin gerçek zamanlı olarak ortaya çıktığını görün
Bu kimlik avı kampanyasının uçtan uca nasıl çalıştığını anlamak için, her adımda her adımın görsel, izlenebilir ve gerçek zamanlı olarak kaydedildiği interaktif sanal alan.
Tüm analiz oturumunu görüntüleyin
İlk teslimattan kovma sonrası davranışa kadar, sanal alan tüm resmi ortaya çıkarır ve SOC ekiplerine daha hızlı yanıt vermek için ihtiyaç duydukları görünürlüğü verir ve işletmelerin sessiz, uzun vadeli uzlaşma riskini azaltmasına yardımcı olur.
Herhangi bir içindeki en son kimlik avı tehdidinin tam saldırı zinciri.
Phishing Email → Malicious Archive → DBatLoader Execution → Obfuscated CMD Scripts → Remcos Injected into .exe
Sandbox’ın içinde, saldırının her aşamasını olduğu gibi görsel olarak izleyebilirsiniz:
Arşivin DBatloader’ı nasıl tetiklediğini ve nasıl gizlenmiş .cmd komut dosyalarının şüpheli komutları yürütmeye başladığını izleyin.
Remcos’un meşru sistem süreçlerine enjekte edildiğini tam olarak bkz. Proses ağaçları ve bellek göstergeleri gerçek zamanlı olarak güncellendi.
Planlanan görevlerin oluşturulması, kayıt defteri değişiklikleri ve sistem etkinlik günlüğünde açıkça vurgulanan .url ve .pif dosyalarının kullanımı gibi kalıcılık tekniklerini gözlemleyin.
Bu kimlik avı saldırısının arkasındaki taktikleri daha iyi anlamak için, yerleşik Miter ATT & CK eşlemesini herhangi birinde kullanabilirsiniz. Sandbox arayüzünün sağ üst köşesindeki “Att & ck” düğmesini tıklamanız yeterlidir.
Bu görüş, analiz sırasında kullanılan teknikleri anında vurgular, yürütme, kalıcılık, ayrıcalık artışı ve daha fazlası gibi taktiklerle gruplandırılır. Davranışı gerçek dünyadaki tehdit istihbaratına bağlamanın hızlı, analist dostu bir yolu, manuel haritalamaya gerek yoktur.
İster triyaj yapın, ister rapor yazıyor olun, bu özellik güvenlik ekiplerinin daha hızlı hareket etmesine yardımcı olur ve yöneticilere tehditlerin nasıl işlediğine ve savunmaların nereye atlanabileceğine dair açık kanıtlar verir.
Bu kimlik avı saldırısında kullanılan teknikler (Sandbox’ın içinde görülebilir)
İşte seansta gözlemlenen bazı temel taktikler ve bunları kum havuzunun içinde nasıl kolayca tespit edebileceğiniz:
- Faktura.exe: lure dosyası
Kurbanlar, meşru bir fatura olarak poz veren Faktura.exe ile bir arşiv içeren bir kimlik avı e -postası alıyor. Açıldığında saldırıyı başlatır.
Çoğu e -posta güvenlik aracı, bilinmiyorsa veya bilinen IOC’lerle eşleşmiyorsa bu dosyayı işaretlemez. Herhangi bir.Run’da, işlem ağacında hemen Faktura.exe’yi görebilir ve kötü niyetli etkinlikleri nasıl ortaya çıkardığını izleyerek analistlere ilk tıklamadan netlik kazandırabilirsiniz.
- DBatloader: İlk yükleyici
Kurban kimlik avı arşivini açtığında, DBatloader yürütülür. Enfeksiyon zincirini gizlenmiş komut dosyalarını başlatarak başlatmaktan sorumludur.
Proses ağacında, DBatloader düşmüş bir .exe olarak görünür, hemen cmd.exe’yi ortaya çıkarır. Komut satırlarını ve dosya sistemi etkinliğini inceleyebilir ve komut dosyasının yürütülmesinin tam olarak nasıl başladığını görebilirsiniz.
- Batcloak sarılı CMD dosyalarıyla gizli yürütme
Bu analiz oturumunda, Batcloak ile gizlenmiş .cmd komut dosyalarının kötü amaçlı yükü indirmek ve yürütmek için kullanıldığını görüyoruz.
Sıkışma, statik tarayıcılardan niyeti gizler. Any.Run gibi kum havuzlarında, komut satırı görünümünü açabilir ve yürütüldüğünde her kod çözülmüş talimatı ve şüpheli deseni görebilirsiniz, manuel kod çözme gerekmez.
- Esentutl.exe ile Lolbas kötüye kullanımı
Meşru yardımcı program esentutl.exe, cmd.exe’yi alfa.pif’e kopyalamak için kötüye kullanılır, zararsız görünmesi gereken yeniden adlandırılmış bir damlaj.
ESENTUTL.EXE kullanarak dosya kopyalama işlemleri, tam yollar ve komut bağlamı dahil olmak üzere herhangi bir.Run işlem ağacı ve dosya sistemi etkinliğinde görünür.
- Planlanan Görevler Tetikleyici .URL → .PIF Yürütme
.PIF dosyasını önyüklemede veya düzenli aralıklarla başlatan cmwdnsyn.url çalıştırmak için planlanmış bir görev oluşturulur.
Planlanan görevler yaygın bir kalıcılık mekanizmasıdır, ancak karmaşık ortamlarda genellikle fark edilmezler. Herhangi bir.Run ile, görevin ne zaman ve nasıl oluşturulduğunu anında görebilir, işlem ağacındaki yürütme zincirini izleyebilir ve ilgili dosya ve kayıt defteri değişikliklerini inceleyebilirsiniz.
Bu, SOC ekiplerine kötü amaçlı yazılımların zamanla nasıl aktif kaldığına dair net bir bakış sağlar, bu da algılama kuralları oluşturmayı, kalıcılık yöntemini belgelemeyi ve tamamen kaldırıldığından emin olur.
- Sahte “c: \ windows” dizinli UAC bypass
Bir sahte dizin (C: \ Windows Alanlı Windows), Windows yolu taşıma tuhaflıklarını kullanarak UAC istemlerini atlamak için kullanılır.
Sandbox analizi neden kaçan tehditlere karşı kritiktir?
Bu kimlik avı kampanyası, yerleşik Windows araçları, hazırlanmış kalıcılık ve geleneksel savunmaları kolayca atlayan ince ayrıcalık yükseltme hilelerini kullanarak saldırganların gizli kalmaya ne kadar gittiğini vurgulamaktadır.
Sandbox analizi ile, özellikle herhangi bir şey gibi, güvenlik ekipleri bu tehditlerin önünde kalmak için gereken netliği ve hızı kazanırlar. Enfeksiyonun her adımını gözlemleyebilir, statik araçların kaçırdığı teknikleri ortaya çıkarabilir ve güvenle hareket edebilirsiniz.
- Gerçek zamanlı davranışsal içgörü sayesinde daha hızlı olay yanıtı
- Yayılmadan önce tehditleri belirleyerek daha az bekleme süresi
- Saldırgan taktiklerine görünürlük yoluyla daha iyi bilgilendirilmiş güvenlik kararları
- Paylaşılabilir, derinlemesine raporlarla gelişmiş uyumluluk ve denetime hazır olma
Herhangi birden yararlanın. Run’un doğum günü teklifleri
9. yıldönümünü kutlamak için, herhangi bir.run sınırlı süreli bir promosyon sunuyor:
Yalnızca 31 Mayıs 2025’e kadar bonus etkileşimli sanalbox lisansları alın veya TI arama kotanızı iki katına çıkarın.
Dünya çapında 15.000’den fazla kuruluşun güvendiği çözümlerle tehdit algılama ve yanıt iş akışınızı yükseltme şansınızı kaçırmayın.