Zscaler tehdidinde siber güvenlik araştırmacıları, ilk olarak Haziran 2025’te tespit edilen Yibackdoor olarak adlandırılan yeni bir kötü amaçlı yazılım suşu belirlediler.
Bu ortaya çıkan tehdit, arka kapı teknolojisinde önemli bir evrimi temsil eder ve yerleşik kötü amaçlı aileler Icedid ve Latrodectus ile önemli kod benzerliklerini paylaşır.
Keşif, Siber suçlu araçların sürekli uyarlanmasını vurguladı, çünkü Yibackdoor, tehdit aktörlerinin sürekli erişimi sürdürmesini sağlayan yetenekleri gösteriyor.
Yibackdoor’un tasarım felsefesi, tarihsel olarak finansal dolandırıcılık araçlarından fidye yazılımı operasyonları için başlangıç erişim brokerlerine yeniden yapılandırılan Zloader ve Qakbot gibi kötü şöhretli bankacılık truva atlarını yansıtıyor.
Kötü amaçlı yazılımların temel işlevleri, saldırganlara hassas sistem bilgilerini toplama, kullanıcı etkinliklerinin ekran görüntülerini yakalama, hem komut istemi hem de PowerShell arayüzleri aracılığıyla keyfi komutlar yürütme ve operasyonel yeteneklerini dinamik olarak genişleten ek eklentiler dağıtma da dahil olmak üzere enfekte sistemler üzerinde kapsamlı bir kontrol sağlıyor.
Yibackdoor, güvenlik araştırmacıları ve otomatik kötü amaçlı yazılım analiz sistemleri tarafından tespitten kaçınmak için özel olarak tasarlanmış gelişmiş anti-analiz mekanizmalarını içerir.
Kötü amaçlı yazılım, statik analizi önemli ölçüde daha zor hale getiren özel bir karma tabanlı arama sistemi aracılığıyla dinamik API çözünürlüğü ile başlayarak birden fazla gizleme katmanı kullanır.
Kötü amaçlı yazılım, VMware, Xen, KVM, Virtualbox, Microsoft Hyper-V ve paralellikler dahil olmak üzere hipervizörleri tespit etmek için CPUID talimatını 0x40000000 parametresiyle kullanarak sanallaştırılmış ortamları sistematik olarak tanımlar.
Belki de en önemlisi, Yibackdoor, sanal makine ortamlarının karakteristiğini kodlama gecikmelerini ölçen zamanlama tabanlı bir hipervizör algılama mekanizması uygular.
Bu teknik, SwitchTothread’i aramanın ardından VM çıkışlarını tetikleyen CPUID çağrıları etrafındaki RDTSC talimatlarını, sistemin sanallaştırılıp belirlenmediğini belirlemek için 16 iterasyonda yürütme sürelerini hesaplamayı içerir.
Ağ trafik şifrelemesi, haftanın cari gününü bir ofset olarak kullanan yapılandırma dizelerinden türetilen anahtarlarla üçlüler kullanır, bu da şifreleme anahtarlarının otomatik olarak dönmesini ve ağ tabanlı algılamayı daha zor hale getirmesini sağlar.
Ayrıca, kötü amaçlı yazılım, 4 baytlık benzersiz anahtarlarla XOR işlemlerini kullanarak çalışma zamanında kritik dizeleri şifreler, bu da statik dize analizini güvenlik araştırmacıları için etkisiz hale getirir.
Sofistike enjeksiyon
Kötü amaçlı yazılım, SVCHOST.EXE işlemini hedefleyen alışılmadık bir teknikle gelişmiş proses enjeksiyon yeteneklerini gösterir.
Yibackdoor, askıya alınmış işlemler oluşturmak yerine yeni bir svchost.exe örneği oluşturur ve RTLEXITUSERPROCESS işlevini yürütme akışını kötü amaçlı yazılımların giriş noktasına yönlendiren özel montaj kodu ile yamalar.
Bu yaklaşım, kötü amaçlı yazılımın, hedef işlem sona erdiğinde yükünü yürütmesine izin verir ve potansiyel olarak geleneksel enjeksiyon yöntemlerini izleyen güvenlik ürünlerinden kaçınır.
Kalıcılık için Yibackdoor, çok aşamalı bir yaklaşım kullanarak Windows Run Kayıt Defteri Anahtarı aracılığıyla kendini kurar.
(GZIP) Icedid Downloader örneğinden ve eklentilerin Yibackdoor’da bulunan şifre çözme rutininden şifre çözme rutini karşılaştırılması.
Kötü amaçlı yazılım kendisini rastgele adlandırılmış bir dizine kopyalar, kötü amaçlı DLL yolu ile regsvr32.exe’ye işaret eden bir kayıt defteri girişi oluşturur ve daha sonra orijinal dosyayı forensik analizi engellemek için kendi kendini siller.
Kayıt defteri değeri adları, bot kimliğine dayanan sahte rastgele algoritmalar kullanılarak oluşturulur ve statik imzalar aracılığıyla algılamayı zorlaştırır.
Yibackdoor’un komutu ve kontrol altyapısı, günlük değişen dinamik şifreleme anahtarlarıyla şifreli JSON tabanlı iletişim protokollerini kullanır.
Kötü amaçlı yazılım, HTTP (ler) desenini takip ederek, sabit kodlanmış dizeler, çalışma zamanı tarafından oluşturulan bot kimlikleri ve yapılandırma parametrelerinin bir kombinasyonunu kullanarak C2 URL’leri oluşturur: // c2/bot_id/uri1/uri2.
Kötü amaçlı yazılım altı birincil komut türünü destekler: sistem bilgi toplama, ekran görüntüsü yakalama, CMD ve PowerShell aracılığıyla keyfi komut yürütme ve işlevselliği genişletmek için eklenti yönetimi.
Her komut yanıtı, görev kimlikleri, yürütme durumu göstergeleri ve Base64 kodlu çıktı verileri içeren HTTP Post istekleri aracılığıyla iletilir.
Bu modüler yaklaşım, tehdit aktörlerinin, belirli hedef ortamlara ve hedeflere dayalı olarak kötü amaçlı yazılımların enfeksiyon sonrası yeteneklerini uyarlamasına izin vererek Yibackdoor’u çeşitli saldırı senaryoları için çok yönlü bir araç haline getirir.
Mevcut istihbarat, Yibackdoor’un geliştirme veya sınırlı test aşamalarında kalmasını önermektedir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.