Yeni piyasaya sürülen saldırgan bir siber güvenlik aracı, Zig Strike, güvenlik topluluğunda, antivirüs (AV), uç nokta tespiti ve yanıtı (EDR) ve genişletilmiş tespit ve yanıt (XDR) çözümleri dahil olmak üzere geleneksel ve yeni nesil güvenlik savunmalarından kaçan yükler üretme yeteneği nedeniyle dalgalar yapıyor.
Rapora göre, Zig Strike siber tehditlerin artan sofistike olmasına ve saldırganlar ve savunucular arasındaki devam eden silah yarışına bir yanıt olarak ortaya çıkıyor.
Altı ay boyunca geliştirilen araç seti, son derece özelleştirilebilir ve kaçamaklı yükler oluşturmak için düşük seviyeli kontrol ve gelişmiş derleme zamanı özellikleri ile bilinen modern ZIG programlama dilinden yararlanır.
.png
)
Daha önceki sürümler C ve Pascal’da inşa edildi, ancak ZIG’ye geçiş, bellek yönetimi ve algılama önleme için yenilikçi tekniklerin dahil edilmesini sağladı.
Temel özellikler ve yetenekler
- Web Tabanlı Yük İndirimi: Zig Strike, yüklerin oluşturulmasını ve özelleştirilmesini kolaylaştıran python destekli bir web portalı sunar. Kullanıcılar çiğ veya c tabanlı kabuk kodu yükleyebilir, birden fazla enjeksiyon tekniği ve ince ayar kaçakçılığı seçenekleri arasından seçim yapabilir. Arka uç Zig derleyicisi, bu girişleri işler ve işlem boyunca görsel geri bildirim ile test etmeye hazır yükler üretir.
- Çoklu Enjeksiyon Teknikleri: Araç seti dört birincil enjeksiyon yöntemini destekler:
- Yerel iş parçacığı enjeksiyonu: Geçerli işlem içinde bir iş parçacığını taklit ederek işlev stomping yoluyla yüke yürütmeyi yeniden yönlendirir.
- Uzak İplik Kaçırımı: Windows API’lerini kullanarak uzaktan işlemlerde iş parçacığının yürütme akışını değiştirir.
- Yerel Haritalama: EDRS’nin tipik olarak algıladığı şüpheli kalıpları azaltarak yürütülebilir bellek tahsis etmek için Windows Dosya Eşleme API’lerini kullanır.
- Uzaktan eşleme: Shellcode’u uzak süreçlerin adres alanına dahil ederek, kötü niyetli aktiviteyi daha da gizler.
- Entropi ve tespit azaltma: ZIG grev fragmanları kabuk kodunu birden çok geniş tel (UTF16) değişkenlere dönüştürür, bunları Base64’te kodlar ve PE dosyasının .rdata bölümüne yerleştirir. Bu strateji statik analiz ve imza tabanlı algılamayı güvenlik çözümleri için çok daha zor hale getirir.
- Anti-sandbox mekanizmaları: Araç seti, güvenilir bir platform modülünün (TPM) varlığı için kontroller içerir ve makinenin kurumsal bir alana birleştirilip katılmadığını doğrular. Bu önlemler, AV ürünleri tarafından yaygın olarak kullanılan sanallaştırılmış sanal alan ortamlarında dinamik analizden kaçmaya yardımcı olur.
- Çok yönlü çıkış formatları: Yükler, hem 32 hem de 64 bit mimarileri destekleyen DLL’ler (Dinamik Bağlantı Kütüphaneleri) veya XLLS (Excel eklentileri) olarak dışa aktarılabilir. Özellikle XLL formatı, Microsoft Excel ile kesintisiz entegrasyon sağlar ve gizli teslimat için güvenilir ofis işlevselliğini kullanır.
Zig Strike, Saldırı Yüzeyini Azaltma (ASR) kuralları etkin olsa bile, Microsoft Defender’ı (MDE) Microsoft Defender’ı atlama yeteneğini gösterdi.
Kontrollü testlerde, Excel eklentileri aracılığıyla teslim edilen yükler, araç setinin modern işletme savunmalarına karşı etkinliğini vurgulayarak kobalt grev işaretlerini tespit etmeden başarıyla tetikledi.
Zig Strike, kırmızı ekip ve etik hackleme için tasarlanmış olsa da – kuruluşların zayıflıkları belirlemelerine ve iyileştirmelerine yardımcı olmak için – savunma teknolojilerinde sürekli yenilikçiliğe duyulan ihtiyacın altını çizmektedir.
Açık kaynaklı doğası, savunucuların uyanık kalması, tespit kurallarını düzenli olarak güncellemeleri ve herhangi bir güvenlik çözümüne güvenmekten kaçınması gerektiği anlamına gelir.
Zig Strike’ın sürümü keskin bir hatırlatmadır: saldırgan yetenekler geliştikçe, sürekli değişen siber güvenlik manzarasındaki savunucuların stratejileri ve araçları da gelişmelidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin