Bu yılın başlarında ilk ortaya çıkmasından bu yana, Toneshell Backdoor, Mustang Panda Grubu tarafından hedeflenen ortamlarda kalıcı bir dayanak korumak için oynanan uyarlama için dikkate değer bir kapasite gösterdi.
Eylül ayı başlarında keşfedilen bu son varyant, meşru yürütülebilir ürünlerin yanı sıra yan yüklenmiş DLL’ler içinde gizlenmiş.
Mahkum belgeler içerdiğini iddia eden sıkıştırılmış arşivler aracılığıyla teslim edilen arka kapı, konakçı süreç kötü niyetli DLL’yi tetiklediğinde etkinleşir ve lanet denetimden kaçan dikkatle düzenlenmiş bir enfeksiyon rutini başlatır.
Tipik dağıtımında, genellikle yerel veya politik temalı başlıklarla adlandırılan arşiv, meşru yükleyici yürütülebilir dosyasını ve yeniden adlandırılmış bir DLL yükünü içerir.
Yürütme üzerine DLL, devam etmeden önce süreç adları ve güvenlik çözümleriyle ilişkili dosya yolları da dahil olmak üzere kum havuzu eserleri için ortamını araştırır.
Bu kontroller geçerse, kötü amaçlı yazılım, birkaç Microsoft Visual C ++ çalışma zamanı kitaplıklarının yanı sıra, kullanıcının AppData dizini altında yeni oluşturulan bir alt klasöre kopyalar.
Intezer analistleri, bu dizinin arka kapıların, normal kullanıcı profili yapısına karışarak incelemeyi çekme olasılığının daha düşük bir konumdan çalışmasını sağladığını belirtti.
Yer değiştirdikten sonra, arka kapı doğrudan Windows’un görev zamanlayıcı com hizmetiyle etkileşime girerek kalıcılık oluşturur.
Intezer araştırmacıları, kötü amaçlı yazılımın, kök klasörde “Dokanctl” adlı planlanmış bir görev oluşturmak için Itaskservice ve IreegisteredTask arabirimlerinden yararlandığını belirledi.
Bu görev, her dakika kötü amaçlı yürütülebilir dosyayı başlatacak şekilde yapılandırılır ve işlem sonlandırılmış olsa bile sürekli yeniden enfeksiyon sağlar.
Görev tanımı, AppData içindeki kopyalanan svchosts.exe’ye eylem yolunu ayarlar ve meşru bir Windows süreci olarak etkili bir şekilde maskelenir.
.webp)
Bu yeniliğin etkisi çok kapsamlı. Kayıt defteri çalıştırma anahtarlarına veya servis kurulumuna güvenmek yerine görev zamanlayıcı com hizmetini kötüye kullanarak, arka kapı iyi bilinen algılama sezgiselliklerinden kaçınır.
Ayrıca, planlanan görev mevcut sistem kitaplıklarından yararlandığından, derin davranışsal analiz olmayan güvenlik araçları modifikasyonu göz ardı edebilir.
Toneshell’in kalıcılık mekanizması, COM arayüzleri ile başlatılan ve etkileşime giren birkaç satır özel koda bağlıdır.
Coinitializeex başarılı olduktan sonra, kötü amaçlı yazılım arar:-
CComPtr taskService;
HRESULT hr = taskService.CoCreateInstance(__uuidof(TaskScheduler));
if (SUCCEEDED(hr)) {
taskService->Connect(_variant_t(), _variant_t(), _variant_t(), _variant_t());
CComPtr rootFolder;
taskService->GetFolder(_bstr_t(L"\\"), &rootFolder);
CComPtr existingTask;
rootFolder->GetTask(_bstr_t(L"dokanctl"), &existingTask);
if (!existingTask) {
CComPtr taskDef;
taskService->NewTask(0, &taskDef);
CComPtr triggers;
taskDef->get_Triggers(&triggers);
CComPtr trigger;
triggers->Create(TASK_TRIGGER_TIME, &trigger);
// configure trigger for every minute
CComPtr actions;
taskDef->get_Actions(&actions);
CComPtr action;
actions->Create(TASK_ACTION_EXEC, &action);
CComPtr exec;
action->QueryInterface(&exec);
exec->put_Path(_bstr_t(L"%APPDATA%\\svchosts.exe"));
rootFolder->RegisterTaskDefinition(_bstr_t(L"dokanctl"), taskDef,
TASK_CREATE_OR_UPDATE, _variant_t(), _variant_t(),
TASK_LOGON_INTERACTIVE_TOKEN, _variant_t(), nullptr);
}
} Bu yaklaşım, arka kapının minimum ayak izi ile devam etmesini sağlayan Windows iç kısımlarının nüanslı bir anlayışını gösterir.
COM arabirimlerine güven, gerçek yürütülebilir dosyanın doğrudan başlatılmadan ziyade, zamanlayıcı aracılığıyla çağrıldığı için basit dosya tabanlı algılamayı da ortadan kaldırır.
Kuruluşlar Toneshell’e karşı savunmaları destekledikçe, anormal COM tabanlı görev zamanlayıcı etkileşimlerini izlemek giderek daha önemli hale gelecektir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.