Redline’ın böyle bir yöntemi kullanan ilk örneği, McAfee’nin kötü amaçlı kodunu gizlemek için Lua bayt kodunu kullandığını keşfettiği Redline Stealer kötü amaçlı yazılımının yeni bir çeşididir.
Kötü amaçlı yazılım keşfetti iki yürütülebilir dosyayı (“compiler.exe” ve “lua51.dll”) birlikte dağıtan bir MSI yükleyicisini içeren “Cheat.Lab.2.7.2.zip” adlı bir zip dosyası içinde gizlenmiş meşru bir Microsoft deposunda (vcpkg) Lua bayt kodunu içeren metin dosyası (“readme.txt”).
Saldırganlar, bazı güvenlik araçlarının analiz etmekte zorlandığı daha az yaygın bir dil olan ve bayt kodu içindeki kötü amaçlı dizeleri gizleyerek geleneksel algılama yöntemlerini engelleyen Lua bayt kodunu kullanarak kötü amaçlı yazılımların tespit edilmesini zorlaştırıyor.
GitHub’ın kod paylaşım platformu olarak popülaritesi, kötü amaçlı yazılım dağıtımı için istismar ediliyor. Platformun ticari güvenlik önlemleri, kötü amaçlı dosyaların tespit edilmesini zorlaştırıyor ve kullanıcıların GitHub’a olan güveni, farkında olmadan kötü amaçlı yazılım indirmelerine yol açabiliyor.
Dağıtım için Lua bayt kodu ve GitHub’dan yararlanma eğilimi, gelecekte bu tür saldırıları daha fazla göreceğimizi gösteriyor.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN’u ÜCRETSİZ deneyin
Yeni Redline sürümü bir MSI aracılığıyla kuruluyor ve bir Lua bayt kodu derleyicisini çalıştırmak için zamanlanmış bir görev oluşturuyor; ayrıca kendisini gizli bir klasöre kopyalar ve C:\Windows\Setup\Scripts içindeki bir komut dosyası aracılığıyla bir kalıcılık mekanizması kurar.
Redline, C2 sunucusuyla HTTP üzerinden iletişim kuruyor ve IP adresi, kullanıcı adı ve makine kimliği de dahil olmak üzere kurban bilgilerini çalıyor; Lua bayt kodu ise gizlenmiş durumda ve karmaşık bir şifre çözme döngüsü kullanarak analizi zorlaştırıyor.
Redline, tespitten daha fazla kaçınmak için, standart olarak izlenen kanalları atlayarak Windows API işlevlerini doğrudan çağırmak için Lua’nın FFI’sından yararlanıyor.
HERHANGİ BİR ÇALIŞMA Cheat.Lab.2.7.2.msi analizi, compiler.exe’yi dağıtan, lua51.dll’yi yükleyen ve girdi olarak readme.txt’yi (gizlenmiş bir ikili dosya) kullanan kötü amaçlı bir yükleme işlemini ortaya koyuyor. compiler.exe daha sonra Pastebin.com’dan IP adreslerini alır ve onlara bağlanmaya çalışır.
İletişim, kullanıcı aracısında “Kış” olarak tanımlanırken sunucuya “/loader/screen/” içeren bir HTTP PUT isteği gönderilmesini içerir.
Etkin olmayan bir C2 sunucusu nedeniyle yürütme zincirinin tamamı tam olarak gözlemlenemese de, bu analiz, kötü amaçlı yazılımın potansiyel kod güncellemeleri veya C2 sunucusu iletişimi için steganografi (readme.txt) ve harici kaynak alımı (pastebin.com) kullanımını vurgulamaktadır.
Yaygın bir kötü amaçlı yazılım olan Redline Stealer, en çok karşılaşılan 5. kötü amaçlı yazılım ailesi olarak belirlendi.
McAfee’nin çeşitli kıtalardaki verilerinin de doğruladığı gibi, bu tehdidin geniş kapsamını vurguluyor.
Bu kötü amaçlı yazılım, özel verileri çalar ve hileler veya üretkenlik uygulamaları gibi kullanıcıların istediği indirmeler olarak kendisini gizler. Kullanıcılar güvende kalmak için YARA, Suricata veya imza tabanlı algılama yöntemlerini kullanarak şüpheli dosyaları kötü amaçlı davranışlara karşı kontrol etmek için sanal alanları kullanabilir.
ANY.RUN’u Bugün Kullanmaya Başlayın
ANY.RUN sanal alanı, kimlik avı ve kötü amaçlı yazılım analizini basitleştirerek 40 saniyeden kısa sürede kesin sonuçlar sağlar.
Özel ekip alanı, tüm Windows VM’leri ve gelişmiş analiz ortamı ayarları da dahil olmak üzere ANY.RUN’un özelliklerinin çalışmanızı nasıl geliştirebileceğini kontrol edebilirsiniz.
Start ANY.RUN sandbox for your team with free registration!