ANY.RUN sanal alanı, kötü amaçlı yükünü bir görüntü dosyası içinde gizlemek için gelişmiş steganografi tekniklerinden yararlanan yeni bir Meterpreter arka kapı kötü amaçlı yazılım türünü analiz etti.
“Meterpreter Backdoor” olarak adlandırılan kötü amaçlı yazılım, RGB renk uzayından yalnızca yeşil ve mavi renk kanallarını kullanarak görünüşte zararsız bir görüntünün ilk iki satırında kodunu gizleyerek tespit edilmekten kaçınmak için tasarlandı.
Saldırı, uzak bir komut ve kontrol (C2) sunucusundan PNG görüntüsünü indiren bir PowerShell betiği içeren bir .NET yürütülebilir dosyasıyla başlar. Her ne kadar resim pitoresk bir manzara gibi görünse de, uğursuz bir sır barındırıyor.
Kötü amaçlı yazılım, System.Drawing kitaplığını ve belirli bir formülü kullanarak görüntü kanallarından bir bayt dizisi hesaplar: (149 & 15)*16) || (83^15) = 83.
Bu formül, görüntünün ilk iki satırındaki yeşil ve mavi renk değerlerinden gizli kodu çıkarır.
ANY.RUN Sandbox’tan özel teklifler alın. 31 Mayıs’a kadar 6 aylık ücretsiz hizmet veya ekstra lisans alın. Ücretsiz kaydol.
Bayt dizisi elde edildikten sonra kötü amaçlı yazılım, bunun kodunu ASCII karakterlerine çözerek bir Kullanıcı Aracısı dizesini ve kötü amaçlı yazılımın bağlanmaya çalışacağı C2 sunucusunun IP adresini ortaya çıkarır.
Bu bağlantı, saldırganın komutlar vermesine ve güvenliği ihlal edilen sisteme yetkisiz erişim elde etmesine olanak tanır.
Kodu çözülen bilgiler daha sonra kötü amaçlı yazılımın çalıştıracağı bir komut dosyasına dönüştürülerek, virüs bulaşan makinede kalıcı bir arka kapı oluşturmasına olanak tanır.
Bu arka kapı, veri sızdırma, uzaktan kod yürütme veya kötü amaçlı yazılımın ağ içinde daha fazla yayılması gibi çeşitli kötü amaçlı faaliyetler için kullanılabilir.
Burada, kötü amaçlı yazılımın Windows Sandbox’ta nasıl çalıştığını bulabilirsiniz.
Steganografi: Kötü Amaçlı Yazılım Dağıtımı için Güçlü Bir Silah
Görünüşte zararsız verilerin içine bilgi gizleme uygulaması olan steganografi, siber suçlular arasında giderek daha popüler bir teknik haline geldi.
Saldırganlar, geleneksel güvenlik önlemlerini atlayabilir ve görüntülerin, ses dosyalarının veya diğer multimedya içeriğinin içine kötü amaçlı kod gizleyerek yüklerini tespit edilmeden teslim edebilir.
Meterpreter Arka Kapı kampanyası, modern kötü amaçlı yazılım yazarlarının karmaşıklığını ve uyarlanabilirliğini vurguluyor. Steganografiden yararlanarak kötü niyetli faaliyetlerini etkili bir şekilde gizleyebilirler, bu da güvenlik profesyonellerinin tehditleri tespit etmesini ve azaltmasını daha zor hale getirebilir.
Bir siber güvenlik uzmanı, “Bu kampanya, geleneksel imza tabanlı algılamayı davranışsal analiz ve makine öğrenimi gibi gelişmiş tekniklerle birleştiren çok katmanlı bir güvenlik yaklaşımının benimsenmesinin öneminin altını çiziyor” dedi. “Sürekli gelişen bu tehditlerin önünde kalmak, sürekli dikkatli olmayı ve siber güvenliğe yönelik proaktif bir yaklaşımı gerektirir.”
Tehdit ortamı geliştikçe, kuruluşlar ve bireyler dikkatli kalmalı ve yazılımı güncel tutmak, güçlü erişim kontrolleri uygulamak ve kullanıcıları şüpheli etkinlikleri tanımlama ve raporlama konusunda eğitmek gibi siber güvenlik en iyi uygulamalarına öncelik vermelidir.