HERHANGİ BİR ÇALIŞMA uzmanlar yakın zamanda görünüşte zararsız PNG görüntülerinin içindeki kötü amaçlı yükleri gizlemek için steganografiyi kullanan yeni bir XWorm kampanyasını ortaya çıkardı.
Sıradan bir grafik gibi görünen şey aslında tamamen bellekte çalışan şifrelenmiş yükleyiciler içeriyor ve kötü amaçlı yazılımın çoğu geleneksel algılama yöntemini ve imza tabanlı savunmayı atlamasına olanak tanıyor.
Bu saldırının nasıl çalıştığını ve analistlerin ve avcıların neleri araması gerektiğini açıklayalım.
Gerçek Dünya Örneğiyle Saldırıya Genel Bakış
Bulaşma, kimlik avı e-postaları ve web sayfaları (T1566.001) aracılığıyla gönderilen PurchaseOrder_25005092.JS adlı kötü amaçlı bir JavaScript yükleyicisiyle başlar.
Komut dosyası, Anında Çağrılan İşlev İfadesi (IIFE) modeli (T1027) kullanılarak gizlenir ve şu konuma üç aşamalı dosya yazar: C:\Users\PUBLIC\
Bu dosyalar şu şekilde adlandırılır:
.png uzantısı görselleri önerse de bunlar görsel dosyaları değildir. Bunun yerine Base64 kodlu ve AES şifreli yükler (T1036.008) için depolama kapsayıcıları görevi görürler; imzaya dayalı hızlı algılamayı önlemek için yaygın olarak kullanılan bir numara.
Saldırı zincirinin tamamını görüntüleyebilir ve gerçek dünyadaki bir çalışmadan eyleme dönüştürülebilir bir analiz raporu indirebilirsiniz. ANY.RUN’un etkileşimli sanal alanı:
XWorm’u Gizleyen Son Saldırıyı PNG’de Görüntüle
ANY.RUN sanal alanında steganografi saldırısı keşfedildi
Yürütmenin her aşamasının saniyeler içinde gerçekleştiğini görün, IOC’leri otomatik olarak çıkarın ve gizli kötü amaçlı yazılım davranışını net, paylaşılabilir içgörülere dönüştürün.
ANY.RUN’un 14 Günlük Deneme Sürümünü Alın
Yürütme Zinciri Dağılımı: Analistlerin Bilmesi Gerekenler
Aşağıda, analistlerin temel yapıları ve pivot noktalarını hızlı bir şekilde tanımlamasına yardımcı olmak için yürütme zincirinin kısa ve adım adım bir dökümü bulunmaktadır.
Nerede arama yapılacağını, hangi günlüklerin inceleneceğini ve tespit ve yanıt için hangi göstergelerin çıkarılacağını görmek için her aşamayı izleyin.
Kalıcılık ve kurulum
JavaScript, yeniden başlatmanın ardından kalıcılığı korumak için zamanlanmış bir görev (T1053.005) oluşturur. Gerekli yapıları kontrol eder ve bunları uzun Base64 blobları ve AES şifreli dizeleri (T1027.013) kullanarak yeniden oluşturur.
Gizlenmiş toplu aşamalandırma (Kile.cmd)
Kile.cmd yoğun bir gizleme içeriyor: değişken gürültü, yüzde değişimleri ve parçalanmış Base64 parçaları. Çalışma zamanında komutları yeniden birleştirir ve PowerShell yükleyicisini (T1059) başlatır.
İki aşamalı PowerShell yükleyici
Aşama 1 – Komut çalıştırıcı: Mands.png’yi okur, Base64 kodunu çözer ve AES şifresini çözer, ardından içerilen komutların kodunu çözer ve bunları Invoke-Expression (IEX) aracılığıyla yürütür.
Aşama 2 – Bellek içi derleme yükleyicisi: Vile.png’yi okur, Base64 kodunu çözer ve AES şifresini ham baytlara çözer, ardından bir .NET derlemesini doğrudan belleğe yükler ve giriş noktasını (T1620) çağırır.
Birleştirilmiş sonuç, XWorm’u başlatan dosyasız, bellek içi bir yükleyicidir.
Gizli PNG’li XWorm yürütme zinciri
Profesyonel Tehdit Avcılığı İpuçları: Dosyasız ve Steganografik Yükleyicilerin Tespiti
Aşağıda analistler ve avcıların XWorm gibi steganografi destekli, bellek içi yükleyicileri belirlemelerine yönelik odaklanmış bir kontrol listesi bulunmaktadır. Olağandışı kalıpları erken tespit etmek ve bulguları davranış analizi yoluyla doğrulamak için bu adımları kullanın:
- Görüntü dosyalarını inceleyin: Alışılmışın dışında uzun Base64 dizeleri, metin parçaları veya görüntü olmayan veriler için .png ve .jpg dosyalarını tarayın. Yüksek metin-ikili oranlar veya yerleşik AES şifreli bölümler genellikle gizli yükleri gösterir.
- PowerShell etkinliğini izleyin: Invoke-Expression, FromBase64String veya AES rutinlerini kullanarak komutları izleyin. Yansıtıcı yürütmeyi ve bellek içi yükleyicileri tespit etmek için bunları wscript.exe veya .cmd dosyaları gibi komut dosyası kökenleriyle ilişkilendirin.
- Zamanlanmış görev oluşturmayı ilişkilendirin: JavaScript veya toplu komut dosyaları tarafından oluşturulan görevleri sistem yolları yerine kullanıcı dizinlerinden arayın. Bu tür girişler genellikle ilk tavizden sonra kalıcılığı gösterir.
- Dinamik analizi kullanın: Statik taramalar birçok steganografik yükleyiciyi kaçırır. Şifre çözmeyi, hazırlamayı ve bellek yürütmeyi gerçek zamanlı olarak gözlemlemek ve her aşamadan IOC’leri çıkarmak için şüpheli komut dosyalarını ve dosyaları ANY.RUN gibi etkileşimli bir sanal alanda çalıştırın.
Sandbox Steganografik Saldırılarda Tespiti Nasıl Hızlandırır?
XWorm gibi steganografik yükleyiciler, çok aşamalı yürütmeye ve yalnızca bellek yüklerine dayanır, bu da onları statik tarayıcılar için neredeyse görünmez kılar.
Korumalı alan ortamı, yüzeyin altında gerçekte neler olduğunu göstererek bunu değiştirir; dosya yazma işlemleri, şifre çözme rutinleri ve gerçek zamanlı olarak yürütülen PowerShell komutları.
İle ANY.RUN’un etkileşimli sanal alanıanalistler şunları yapabilir:
- Tüm zincirin açılmasını izleyin; İlk JavaScript damlalığından bellek içi yürütmeye kadar.
- Kodu çözülmüş komut dosyaları, dosya yolları ve kayıt defteri değişiklikleri gibi IOC’leri çıkarın ve görselleştirin.
- İmzaları veya EDR uyarılarını beklemeden kalıcılığı ve C2 etkinliğini onaylayın.
Bu görünürlük düzeyi, gizli, dosyasız bir enfeksiyonu şeffaf, izlenebilir bir sürece dönüştürerek tehdit avcılarının daha hızlı ve kanıta dayalı netlikle yanıt vermesine yardımcı olur.
Karmaşık Saldırıları Saniyeler İçinde Açık Kanıta Dönüştürün
Saldırganlar ortama uyum sağlama konusunda giderek daha iyi hale geliyor; tek güvenilir savunma, yalnızca bırakılan dosyaları değil, davranışlarını da gözlemlemektir.
neredeyse ANY.RUN, vakaların %90’ında tam saldırı davranışını 60 saniyeden kısa sürede ortaya çıkarırgeçici, dosyasız etkinlikleri analistlerin hemen harekete geçebileceği somut kanıtlara dönüştürüyor.
Analistler ve tehdit avcıları için temel avantajlar:
- Daha hızlı kararlar için gerçek zamanlı görünürlük: Statik taramaları veya satıcı imzalarını beklemeden yükleyicilerin paketi nasıl açtığını, şifresini çözdüğünü ve yürüttüğünü anında görün.
- Daha az yanlış pozitif: Davranışsal bağlam, gerçek tehditleri zararsız otomasyon veya komut dosyalarından ayırmayı kolaylaştırır.
- Uçtan uca anlayış: Her işlemin nasıl bağlandığını, hangi dosyaların yazıldığını ve kalıcılığın nasıl elde edildiğini izleyin.
- Triyaj ve incelemede zaman tasarrufu: Analizi ve IOC çıkarımını saatler değil dakikalar içinde tamamlayın.
- Sorunsuz iş akışı entegrasyonu: Hazır bağlayıcılar aracılığıyla sonuçları doğrudan SIEM, SOAR veya vaka yönetimi araçlarına aktarın.
- İşbirliği artık daha kolay: SDaha hızlı fikir birliği için ekipler arasında canlı oturumlar, bulgular ve görsel raporlar paylaşın.
- Sürekli öğrenme ve avlanma: Eşlenen MITRE ATT&CK TTP’leri ve kodu çözülmüş yapılar, algılama mantığını ve tehdit istihbaratı akışlarını zenginleştirir.
Ready to see it in action? Talk to ANY.RUN experts and discover how interactive analysis helps your team find and stop threats static tools miss. 