En son Toneshell varyantı, Windows Görev Scheduler COM hizmetinden yararlanarak kalıcılık stratejisinde önemli bir ilerleme sağlar.
Geleneksel olarak DLL kenar yükleme teknikleri ile sağlanan bu hafif arka kapı, artık güvenlik ekiplerinde önemli zorluklar yaratan gelişmiş kalıcılık mekanizmalarını ve sofistike anti-analiz yeteneklerini içeriyor.
Siber güvenlik araştırmacıları, Toneshell Backdoor’un yeni bir varyantını belirlediler ve Çin-Nexus Mustang Panda Group’un cephaneliğinin sürekli evrimini gösterdi.
Yalnızca geleneksel kalıcılık yöntemlerine dayanan önceki sürümlerin aksine, bu varyant, kullanıcının AppData dizinindeki rastgele adlandırılmış bir klasörden her dakika yürütülen “Dokanctl” adlı planlanmış bir görev oluşturur.
Arka kapı kurulum işlemi kapsamlı bir doğrulama rutini ile başlar. İlk olarak, bir Google Drive senkronizasyon yolundan çalışıp çalışmadığını, muhtemelen tehdit aktörlerinin kendi sistemlerinden ödün vermesini önlemek için bir anti enfeksiyon önlemi olup olmadığını kontrol eder.
Bu kontrol geçerse, kötü amaçlı yazılım, kurulum sırasına devam etmeden önce Mutex “Global \ SingleCorporation12AD8b” kullanarak tek bir yük politikasını uygular.
Operasyonel önkoşullar karşılandıktan sonra, arka kapı, altı karakterli rastgele üst harf adına sahip yeni oluşturulan bir dizine DLL dosyaları (msvcr100.dll, msvcp100.dll, mfc100.dll) ile birlikte kopyalar.
Görev Zamanlayıcı Com Servis Entegrasyonu, daha sonra kalıcı bir yürütme mekanizması oluşturur ve görevi %appData %
Sofistike anti-analiz cephaneliği
Bu Toneshell varyantı, birden fazla anti-analiz katmanı ve sandviç anti kutulama mekanizmaları uygulayarak, kaçırma tekniklerinde önemli bir ilerleme gösterir.
Kötü amaçlı yazılım, 100 milisaniye gecikmelerle döngülerde geçici dosyaları oluşturan, yazan, kapatan ve silen, yürütme süresini etkili bir şekilde yakan ve otomatik analiz ortamlarında dosya sistemi öykünmesini vurgulayan tekrarlanan dosya işlemleri kullanır.
Zamanlama tabanlı kaçırma teknikleri, 20 saniyeden fazla başlangıç gecikmesi biriktirerek, yineleme başına 800 milisaniyeden bir saniyeden fazla değişen gecikmeleri getiren randomize uyku döngüleri içerir.
Ek olarak, kötü amaçlı yazılım kullanır GettickCount64 (), titreşmiş uykularla birleştirilir, gerçekçi saat ilerleme yetenekleri olmayan emülatörlerin sıkışmasını sağlamak için en az 10 saniye duvar saati süresine kadar beklemek.
Belki de en önemlisi, varyant, Openai Blog’dan görüntü oluşturma ve Pega AI’nın web sitesinde kopyalanan metin içeren büyük gömülü dize arabellekleri içerir.
Bu dizeler, ikili boyutu şişirmenin ve çekirdek mantığı etkilemeden işleme döngülerini tüketen gizlenmiş dize karşılaştırmaları için anlamsız içerik sağlamanın ötesinde bir fonksiyonel amaca hizmet etmiyor.
Kötü amaçlı yazılım, 146.70.29 numaralı telefondan komut ve kontrol sunucusuyla iletişimi sürdürüyor[.]229: 443 Meşru ağ trafiği ile karıştırmak için tasarlanmış TLS benzeri bir protokol sarmalayıcı kullanma.
Her paket sabit bayt “17 03 03” (TLS 1.2 uygulama verisi) ve ardından iki bayt uzunluğunda bir alan ile başlar, ancak sadece düşük bayt işlenir ve yükleri 255 baytla etkili bir şekilde sınırlar.
İletişim protokolü, yük yükü için 256 baytlık bir haddeleme anahtarı ile XOR kodlaması kullanır. TLS benzeri başlık soyulduktan sonra, kod çözülmüş yük yapısı bir tür/durum alanından, ek bir kod baytından ve mesaj gövdesinden oluşur.
Bu yaklaşım, güncellenen özellikleri dahil ederken önceki Toneshell varyantlarında kurulan iletişim çerçevesini korur.
Arka kapı, CoCreateGuid kullanarak veya gerektiğinde dahili doğrusal kongratik jeneratöre düşerek yenilerini üretmeden önce, mevcut tanımlayıcıları “C: \ ProgramData \ SystemRuntimelag.inc” den okumaya çalışarak, rehber oluşturma yoluyla benzersiz makine tanımlayıcıları üretmeye devam eder.
Bu Toneshell varyantı ile Myanmar’ın Mustang Panda tarafından sürekli hedeflenmesi, bölgedeki daha geniş Çin jeopolitik çıkarlarını yansıtıyor.
Kötü amaçlı yazılım, özellikle, özellikle “(TNLA ve diğer devrimci kuvvetler), sürekli olarak, sürekli odağı gösteren sürekli odağı göstermeye gösteren sürekli odağı gösteren, dağıtımlı zorlular aracılığıyla dağıtıldı.
Bu kalıcı hedefleme, siber operasyonların stratejik olarak önemli komşu devletlerde, özellikle sınır güvenliği, altyapı geliştirme ve siyasi izlemeyi içeren alanlarda etkiyi korumak için araçlar olarak nasıl hizmet verdiğini vurgulamaktadır.
Hafifletme
Güvenlik ekipleri, bu varyant tarafından kullanılan belirli kalıcılık mekanizmalarını tespit etmeye odaklanmalı, özellikle “Dokanctl” adlı planlanmış görevlerin oluşturulmasını ve altı karakterlik rastgele isimlere sahip AppData dizinlerinde şüpheli etkinlikler.
Mutex “Global \ singlecorporation12AD8b”, tanımlanan komut ve kontrol altyapısına ağ iletişimi ile birlikte başka bir algılama fırsatı sağlar.
Bu varyant tarafından kullanılan sofistike anti-analiz teknikleri, genişletilmiş yürütme gecikmelerini ve gizlenmiş kontrol akışlarını açıklayabilecek ileri dinamik analiz yeteneklerine olan ihtiyacı vurgulamaktadır.
Kuruluşlar, bu kötü amaçlı yazılım ailesiyle ilişkili karakteristik dosya işlemlerini ve zamanlama kalıplarını tanımlayabilen davranışsal izleme uygulamalıdır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.