Siber güvenlik tehditleri, gelişmiş kaçınma yöntemleriyle gelişmeye devam ediyor. Kötü şöhretli Lokibot truva atını görüntü dosyaları içinde gizlemeye yönelik gelişmiş bir yaklaşım sergileyen yeni bir .NET tabanlı kötü amaçlı yazılım yükleyici ortaya çıktı.
Bu çok aşamalı yük dağıtım sistemi, gizli verileri yasal görünen dosyaların içine yerleştiren bir teknik olan steganografiyi kullanır ve bu sayede tespit edilmesi güvenlik araçları ve analistler için çok daha zor hale gelir.
Kötü amaçlı yazılım, Lokibot’u PNG ve BMP görüntü dosyalarının içinden çıkarıp çalıştırabilen bir steganografi yükleyicisi olarak çalışıyor.
Güvenlik araştırmacıları bu tehdidin, küresel olarak kuruluşları hedef alan genişleyen saldırı kampanyasının bir parçası olduğunu tespit etti.
Saldırgan, görüntü dosyası kapsayıcılarından yararlanır çünkü antivirüs yazılımı ve e-posta ağ geçitleri genellikle görüntü dosyalarını güvenli olarak beyaz listeye alır ve hiçbir risk taşımadıklarını varsayar.
Bu varsayım, modern güvenlik altyapısında kritik bir güvenlik açığı haline geldi. Teslim mekanizması genellikle kimlik avı e-postalarını veya ilk yükleyiciyi barındıran ele geçirilmiş web sitelerini içerir.
.webp)
Kötü amaçlı yazılım yürütüldükten sonra uzak sunuculardan gizli Lokibot verilerini içeren görüntü dosyalarını alır. Steganografik gömme işlemi, kodlanmış yürütülebilir kodu depolamak için özellikle RGB renk kanallarını kullanarak görüntü dosyaları içindeki piksel verilerini yönetir.
Bu teknik, kötü amaçlı içeriği sessizce taşırken görüntüleri işlevsel olarak sağlam hale getirir. Splunk güvenlik araştırmacıları, kötü amaçlı yazılımın kaçırma stratejisinde önemli bir değişikliği temsil ettiğini belirtti.
Geleneksel algılama yöntemleri, şüpheli dosya imzalarını veya davranış kalıplarını tanımlamaya dayanır, ancak görüntü tabanlı steganografi, zararsız görünen dosyalar içindeki yürütülebilir dosyaları gizleyerek bu savunmaları atlar.
Araştırmacılar, yükleyicinin, gerçek Lokibot yükünü aldıktan sonra çıkarmak için özel bir şifre çözme rutini kullandığını ve analiz ve algılamayı geciktiren başka bir şaşırtma katmanı eklediğini keşfetti.
Lokibot, konuşlandırıldıktan sonra, virüs bulaşmış sistemlerden hassas kimlik bilgilerini ve verileri toplamak için tasarlanmış bir bilgi hırsızı olarak işlev görür.
Kötü amaçlı yazılım, tarayıcı geçmişlerini, kayıtlı şifreleri ve uygulamaya özel kimlik doğrulama belirteçlerini hedef alarak çalışanların birden fazla bulut hizmetine eriştiği kurumsal ortamlar için onu özellikle tehlikeli hale getiriyor.
Steganografik Gömme Mekanizması
Kötü amaçlı yazılımın görüntü dosyalarındaki kodu nasıl gizlediğini anlamak, bu saldırının teknik karmaşıklığını ortaya çıkarır. .NET yükleyicisi, kaynak bölümünde gömülü PNG ve BMP dosyalarını içerir.
Bu görüntü dosyaları, birden fazla piksel değeriyle kodlanmış Lokibot yükünü içerecek şekilde özel olarak hazırlanmıştır.
.webp)
Kodlama işlemi, her pikselin alfa, kırmızı, yeşil ve mavi kanal verilerini içerdiği ARGB renk formatından yararlanır.
Saldırganlar, gerçek kötü amaçlı yürütülebilir dosyanın kodlanmış baytlarını taşımak için bu kanal değerlerini değiştirir. Süreç, bireysel piksel değerlerini çıkarır, bunları onaltılık dizilere dönüştürür ve bu baytları tam bir PE modülünde yeniden birleştirir.
Ortaya çıkan çıkarılan dosya genellikle, son Lokibot truva atının şifresini çözen ve yürüten bir ara aşama görevi gören “captive.dll” gibi bir DLL’dir.
Bu iç içe geçmiş yaklaşım, güvenlik araçlarının gerçek tehdide ulaşmak için birden fazla şifreleme ve kodlama katmanını başarıyla atlaması gerektiği anlamına gelir.
Bu tekniğin zarafeti, içerik analizinde başarısız olan, dosya türü doğrulama kontrollerini geçemeyen ve geleneksel yük algılama yöntemleri için tasarlanmış ağ geçidi filtrelerini atlayan dosyaları kullanarak kötü amaçlı yazılım dağıtma yeteneğinde yatmaktadır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
