Güvenlik araştırmacıları, antivirüs yazılımları tarafından tespit edilmekten kaçınmak için gelişmiş gizleme teknikleri kullanan yeni bir kötü amaçlı yazılım türü tespit etti.
“crypted.bat” adlı bir dosyaya hapsedilen kötü amaçlı yazılımın, büyük antivirüs motorları tarafından tespit edilemediği tespit edildi ve bu durum siber güvenlikteki artan zorluklar konusunda endişeleri artırdı.
Keşif ve İlk Analiz
Kötü amaçlı yazılım ilk olarak, dosyaları virüslere karşı tarayan popüler bir çevrimiçi hizmet olan VirusTotal’daki antivirüs tespitinden tamamen kaçındığını belirten bir güvenlik analisti tarafından tespit edildi.
SHA256 karma değeriyle (453c017e02e6ce747d605081ad78bf210b3d0004a056d1f65dd1f21c9bf13a9a) tanımlanan dosya, ilk karartma katmanı olarak UTF-16 kodlamasını kullanıyordu ve bu da tersine mühendislerin kodu analiz etmesini zorlaştırıyordu.
Kötü amaçlı yazılım çeşitli karmaşık gizleme teknikleri kullanır. Dikkat çekici bir yöntem, toplu komut dosyalarında boş ortam değişkenlerinin kullanımını içerir.
Bu değişkenler Windows tarafından işlendiğinde, yok sayılır ve kötü amaçlı yazılımın gerçek işlemleri etkili bir şekilde gizlenir. Ek olarak, betik dinamik olarak etiketler üretir ve aralarında geçişler yapar, bu da analizi daha da karmaşık hale getirir.
Çalıştırıldığında, kötü amaçlı yazılım statik bir Python ortamı dağıtır ve zamanlanmış bir görev aracılığıyla kalıcılık oluşturur. Bu görev, kötü amaçlı yazılımın her sistem oturum açmasında yeniden çalıştırılmasını sağlar.
Uzak bir sunucudan indirilen yük, işlem oyuklama tekniğini kullanarak kod enjeksiyonu gerçekleştirmek üzere tasarlanmış, yoğun şekilde gizlenmiş Python kodudur.
SANS raporuna göre, kötü amaçlı yazılım klasik kod enjeksiyonu gerçekleştirmek için bir dizi API çağrısı kullanır. Askıya alınmış durumdaki “notepad.exe” veya “svchost.exe” gibi meşru Windows işlemlerinin bir listesinden rastgele bir işlem oluşturur.
Daha sonra kötü amaçlı kod bu sürece enjekte edilerek, kötü amaçlı yazılımın meşru bir uygulama kisvesi altında çalışmasına olanak sağlanıyor.
Daha detaylı analizler, kötü amaçlı yazılımın 15.235.176.64:7000 adresinde bulunan bir komuta ve kontrol (C2) sunucusuyla iletişim kurduğunu ortaya koydu. İletişim, belirtilen bir anahtarla AES kullanılarak şifreleniyor ve bu sayede kötü amaçlı yazılım ile sunucu arasında değiştirilen verilerin müdahaleye karşı güvende kalması sağlanıyor.
Bu keşif, modern kötü amaçlı yazılımların giderek daha karmaşık ve gelişmiş hale geldiğini gösteriyor.
Gelişmiş karartma tekniklerinin kullanımı, geleneksel antivirüs çözümlerine meydan okumanın yanı sıra daha güçlü siber güvenlik önlemlerinin geliştirilmesini de gerekli kılıyor.
Saldırganlar yenilikler yapmaya devam ettikçe, siber güvenlik topluluğunun bu gelişen tehditlere karşı korunmak için uyanık ve uyumlu olması gerekiyor.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-Day Free Trial