Araştırmacılar, Windows ortamlarındaki taşınabilir yürütülebilir (PE) başlığını tamamen atlayarak geleneksel algılama mekanizmalarını atlayan yeni yeni bir kötü amaçlı yazılım türü belirlediler.
Bu yenilikçi kaçırma taktiği, kötü niyetli yazılımların sistemlere nasıl sızabileceğinde önemli bir değişimi temsil ederek geleneksel antivirüs ve uç nokta algılama çözümlerine kritik bir zorluk oluşturur.
Kötü amaçlı yazılım tekniklerinde atılım
PE üstbilgisinin yokluğu, olası tehditleri tanımlamak için bu başlığı ayrıştırmaya dayanarak, dosyanın yapısı ve davranışı hakkında meta veriler içeren Windows yürütülebilir dosyaların kritik bir bileşeni.
.png
)
Yeni keşfedilen kötü amaçlı yazılım, Windows işletim sisteminin yürütülebilir dosyaları ele almasının daha az bilinen bir yönünü kullanır.
Tipik olarak, PE başlığı, işletim sisteminin bir programı doğru bir şekilde yüklemesi ve yürütmesi için gerekli olan giriş noktası, bölüm tablosu ve içe aktarma/dışa aktarma dizinleri gibi temel bilgileri içerir.
Bununla birlikte, bu kötü amaçlı yazılım, yapılandırılmış bir PE üstbilgisine güvenmeden kötü niyetli yükünü doğrudan belleğe yüklemek için yeni bir teknik kullanır.
Kötü amaçlı yazılım, düşük seviyeli sistem çağrılarından yararlanarak ve bellek tahsisini manipüle ederek, kodunu meşru süreçlere enjekte eder ve iyi huylu aktivite olarak maskelenir.
Bu yaklaşım sadece belirli başlık imzalarını tarayan statik analiz araçlarından kaçınmakla kalmaz, aynı zamanda kötü niyetli kod beklenen yapısal belirteçlerden yoksun olduğu için dinamik analizi de karmaşıklaştırır.
Başlıksız yürütmeye teknik derin dalış
Siber güvenlik uzmanları, bu yöntemin Windows çekirdeğinin belgelenmemiş özelliklerinden yararlanmayı veya yürütmeyi sağlamak için meşru sistem kamu hizmetlerini kötüye kullanmayı ve varlığını daha da gizleyebileceğini belirtti.
Bu keşfin sonuçları derindir, çünkü yalnızca dosya yapısı analizine dayanmak yerine çalışma zamanı anomalilerine odaklanan gelişmiş davranış temelli tespit mekanizmalarına ihtiyaç olduğunu vurgulamaktadır.
Kuruluşlar, geleneksel dosya tabanlı taramalar bu gelişmiş düşmana karşı yetersiz olduğu için, bu tür gizli tehditlere karşı koymak için bellek adli tıp ve gerçek zamanlı izlemeyi entegre ederek güvenlik duruşlarını güncellemeleri istenir.
Bu kötü amaçlı yazılımların PE başlığı olmadan çalışabilme yeteneği, özellikle modası geçmiş veya yanlış yapılandırılmış güvenlik araçlarına sahip ortamlarda yaygın sömürü potansiyeli hakkında endişeler doğurur.
Rapora göre, araştırmacılar saldırganların bu tekniği, kritik altyapı veya yüksek değerli kurumsal ağlardan ödün vermek için gelişmiş kalıcı tehditler (APT’ler) gibi hedeflenen kampanyalara yerleştirebilecekleri konusunda uyarıyorlar.
Bu tür kötü amaçlı yazılımların tersine mühendisliği karmaşıklığı, şimdi metodolojilerini başlıksız ikili dosyaları hesaba katmak için uyarlaması gereken olay müdahale ekipleri için başka bir zorluk katmanı ekler.
Siber güvenlik topluluğu karşı önlemler geliştirmek için yarıştıkça, bu keşif siber tehditlerin sürekli gelişen doğasını ve proaktif savunma stratejilerinin önemini açık bir hatırlatma görevi görüyor.
Uzlaşma Göstergeleri (IOC)
| Gösterge Türü | Değer | Tanım |
|---|---|---|
| Dosya karma (sha-256) | 8F3B2A1C… (Örnek karma) | Şüpheli kötü niyetli ikili karma |
| Hafıza Artefaktı | Konulmamış hafıza bölgeleri | Enjekte edilen kodun potansiyel göstergesi |
| Ağ trafiği | C2 Sunucu: 192.168.1.100:8080 | Komut Sunucusu ile İletişim |
| Sistem davranışı | Beklenmedik süreç boşluğu | Anormal süreç bellek aktivitesi |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!