Fortinet’in yeni bulgularına göre, siber güvenlik araştırmacıları, bozulmuş DOS ve PE başlıkları ile kötü amaçlı yazılımları kullanan alışılmadık bir siber saldırı çıkardı.
DOS (Disk İşletim Sistemi) ve PE (Taşınabilir Yürütülebilir) başlıkları, bir Windows PE dosyasının temel parçalarıdır ve yürütülebilir ürün hakkında bilgi sağlar.
DOS başlığı, yürütülebilir dosyayı MS-DOS ile geriye dönük hale getirir ve işletim sistemi tarafından geçerli bir yürütülebilir olarak tanınmasına izin verirken, PE başlığı meta verileri ve Windows’un programı yüklemesi ve yürütmesi için gerekli bilgileri içerir.
Hacker News ile paylaşılan bir raporda araştırmacılar Xiaopeng Zhang ve John Simmons, “Birkaç hafta boyunca uzlaşmış bir makinede çalışan kötü amaçlı yazılım keşfettik.” Dedi. “Tehdit oyuncusu, kötü amaçlı yazılımları bir Windows sürecinde çalıştırmak için bir grup senaryo ve PowerShell yürütmüştü.”
Fortinet, kötü amaçlı yazılımın kendisini çıkaramamasına rağmen, çalışan kötü amaçlı yazılım işleminin bir bellek dökümü ve tehlikeye atılan makinenin tam bir bellek dökümü aldığını söyledi. Şu anda kötü amaçlı yazılımların nasıl dağıtıldığı veya dağıtan saldırıların ne kadar yaygın olduğu bilinmemektedir.
Bir dllhost.exe işlemi içinde çalışan kötü amaçlı yazılım, analiz çabalarına meydan okumak ve yükü bellekten yeniden yapılandırmak için bozuk DOS ve PE başlıklarına sahip 64 bit PE dosyasıdır.
Bu barikatlara rağmen, siber güvenlik şirketi ayrıca, “birden fazla deneme, hata ve tekrarlanan düzeltmelerden” sonra tehlikeye atılan sistemin ortamını çoğaltarak kontrollü bir yerel ortamda dökülen kötü amaçlı yazılımları parçalayabildiğini belirtti.
Kötü amaçlı yazılım, yürütüldükten sonra, bellekte depolanan komut ve kontrol (C2) etki alanı bilgilerini şifresini çözer ve daha sonra sunucu ile temas kurar (“RushPapers[.]com “) yeni oluşturulan bir tehditte.
Araştırmacılar, “İpliği başlattıktan sonra, ana iş parçacığı iletişim iş parçacığı yürütülmesini tamamlayana kadar bir uyku durumuna giriyor.” Dedi. “Kötü amaçlı yazılım TLS protokolü üzerinden C2 sunucusu ile iletişim kurar.”
Daha ileri analizler, kötü amaçlı yazılımları, ekran görüntülerini yakalama özelliklerine sahip bir uzaktan erişim Truva atı (sıçan) olarak belirlemiştir; Meydan okulu ana bilgisayardaki sistem hizmetlerini numaralandırın ve manipüle edin; ve hatta gelen “müşteri” bağlantılarını beklemek için bir sunucu olarak hareket eder.
Fortinet, “Çok iş parçacıklı bir soket mimarisi uygular: Yeni bir müşteri (saldırgan) her bağlandığında, kötü amaçlı yazılım iletişimi idare etmek için yeni bir iş parçacığı ortaya çıkar.” Dedi. “Bu tasarım eşzamanlı oturumlar sağlar ve daha karmaşık etkileşimleri destekler.”
“Bu modda çalışarak, kötü amaçlı yazılım, tehlikeye atılan sistemi etkili bir şekilde uzaktan erişim platformuna dönüştürerek saldırganın daha fazla saldırı başlatmasına veya kurban adına çeşitli eylemler gerçekleştirmesine izin veriyor.”