Fortiguard Olay Müdahale Ekibi, birkaç hafta boyunca uzlaşmış bir Windows makinesinde sessizce çalışmayı başaran yeni keşfedilen bir kötü amaçlı yazılım hakkında ayrıntılı bir soruşturma yayınladı. Bu kötü amaçlı yazılımları diğerlerinden farklı kılan şey, güvenlik araştırmacılarının adli analizi ve yeniden yapılanma çabalarını engellemek için tasarlanmış bir yöntem olan kendi DOS ve PE başlıklarının kasıtlı yolsuzluğudur.
Bu zorluğa rağmen, Fortinet’in ekibi, canlı kötü amaçlı yazılım sürecinin bir bellek dökümünü başarıyla elde etti. dllhost.exe Process (PID 8200), tehlikeye atılan sistemin tam bir 33GB bellek dökümü ile birlikte.
Fortinet’in araştırmacıları, tehlikeye atılan ortamı dikkatlice çoğaltarak, terk edilmiş kötü amaçlı yazılımları kontrollü bir ortamda hayata döndürerek operasyonlarını ve iletişim kalıplarını gözlemlemelerine izin verdiler.
Bozuk kötü amaçlı yazılımları çevrimiçi olarak geri getirmek
DOS ve PE başlıkları olmadan, kötü amaçlı yazılımlar normal bir Windows ikili gibi yüklenemedi ve yürütülemedi. Araştırma ekibi, kötü amaçlı yazılımların giriş noktasını manuel olarak tanımlamak, bellek tahsis etmek ve tehlikeye atılan sistem ile test ortamı arasında farklılık gösteren API adreslerini çözmek zorunda kaldı. Tekrarlanan hata ayıklama, adres yer değiştirme ve parametre ayarlamaları ile nihayet bir laboratuvar ayarındaki kötü amaçlı yazılım davranışlarını taklit edebildiler.
Fortinet’in Hackread.com ile Perşembe günü yayınlanmasından önce paylaşılan blog yazısına göre, kötü amaçlı yazılım, TLS şifrelemesini kullanarak RushPaperscom’daki bir komut ve kontrol (C2) sunucusu ile iletişimini açıkladı.
Fortinet analistleri, kötü amaçlı yazılımların Windows API işlevlerini kullanmasını izledi. SealMessage() Ve DecryptMessage() şifreli trafiği işlemek için. Ayrıca, TLS uygulamadan önce belirli veri paketlerini saran ek bir özel şifreleme katmanı belirlediler ve trafik incelemesini daha da karmaşıklaştırdılar.
Kötü amaçlı yazılım ne yapabilir
Fortinet’in analizi, kötü amaçlı yazılımın uzaktan erişim Truva atı (sıçan) olarak çalıştığını ve saldırgana birkaç güçlü özellik sağladığını doğrular:
- Ekran yakalama: Kötü amaçlı yazılım periyodik ekran görüntüleri alır, bunları JPEG olarak sıkıştırır ve aktif pencerelerin başlıklarıyla birlikte C2 sunucusuna gönderir.
- Uzak Sunucu İşlevselliği: Kötü amaçlı yazılım, bir dinleme TCP bağlantı noktası oluşturur ve saldırganların doğrudan bağlanmasına ve komutlar vermesine veya ek saldırılar dağıtmasına izin verir.
- Sistem Servis Kontrolü: Windows Service Control Manager ile arayüz oluşturarak, kötü amaçlı yazılım, enfekte edilmiş makinedeki kritik sistem hizmetlerini numaralandırabilir, manipüle edebilir ve potansiyel olarak bozabilir.
Saldırı nasıl çalışır
İlk enfeksiyon, kötü amaçlı yazılımları başlatarak bir Windows işlemine gömmek için toplu betiğe ve PowerShell’e dayanıyordu. Çalıştığında, kötü amaçlı yazılım C2 sunucusunun etki alanı bilgilerini şifreli bellekten getirdi, güvenli bir bağlantı kurdu ve sistem detaylarını eksifiltrasyona başladı.
Trafik analizi sırasında Fortinet, kötü amaçlı yazılımların işletim sistemi sürümü ve mimari dahil olmak üzere sistem bilgilerini nasıl topladığını ve rapor ettiğini ortaya çıkararak WebSocket isteklerini ve yanıtlarını çözdü.
İlginç bir şekilde, kötü amaçlı yazılım şifreleme şeması, TLS şifrelemesi için teslim edilmeden önce, paket verilerinin XOR tabanlı karıştırılması için rastgele oluşturulmuş bir anahtar kullanır. Bu ekstra katman, basit ağ tabanlı algılamaya karşı koruma ekler ve araştırmacıları kötü amaçlı aktivite yakalamak için uç nokta incelemesine veya bellek seviyesi analizine güvenmeye zorlar.