OzzTech - DarkWatchman Windows İçin Yeni Kötü Amaçlı Yazılım

DarkWatchman Windows İçin Yeni Kötü Amaçlı Yazılım

Windows İçin Yeni Kötü Amaçlı Yazılım

DarkWatchman Yeni Dosyasız Kötü Amaçlı Yazılım, Algılamadan Kurtulmak için Windows Kayıt Defterini Depolama Olarak Kullanıyor

Bir sosyal mühendislik kampanyası aracılığıyla yayılan JavaScript tabanlı yeni bir uzaktan erişim Truva Atı (RAT), keşif ve analizden kaçınmak için algılama-kaçınma yöntemlerinin bir parçası olarak sinsi "dosyasız" tekniklerin kullanıldığı gözlemlendi.

Prevailion'un Düşman Karşı İstihbarat Ekibi'nden (PACT) araştırmacılar tarafından DarkWatchman olarak adlandırılan kötü amaçlı yazılım, komuta ve kontrol (C2) altyapısını tanımlamak için esnek bir etki alanı oluşturma algoritması (DGA) kullanır ve tüm depolama işlemleri için Windows Kayıt Defteri'ni kullanır, böylece kötü amaçlı yazılımdan koruma motorlarını rahat bir şekilde atlatır.

Araştırmacılar Matt Stafford ve Sherman Smith, RAT'ın "dosyasız kalıcılık, sistem içi etkinlik ve kendi kendini güncelleme ve yeniden derleme gibi dinamik çalışma zamanı yetenekleri için yeni yöntemler kullandığını" belirterek, "dosyasız kötü amaçlı yazılım tekniklerinde bir evrimi temsil ediyor" dedi. neredeyse tüm geçici ve kalıcı depolama için kayıt defterini kullanır ve bu nedenle diske hiçbir şey yazmaz ve çoğu güvenlik aracının algılama eşiğinin altında veya çevresinde çalışmasına izin verir."

Prevailion, 12 Kasım 2021'den itibaren bir dizi kötü amaçlı yazılım eserinin tespit edildiği, hedeflenen kurbanlar arasında Rusya'daki kurumsal boyutta bir kuruluşun isimsiz olduğunu söyledi. Arka kapı ve kalıcılık özellikleri göz önüne alındığında, PACT ekibi DarkWatchman'ın ilk erişim ve keşif olabileceğini değerlendirdi.

Bu yeni gelişmenin ilginç bir sonucu, fidye yazılımı operatörlerinin, genellikle dosya kilitleyen kötü amaçlı yazılımları bırakmaktan ve dosya hırsızlığını yönetmekten sorumlu olan bağlı kuruluşları işe alma ihtiyacını tamamen ortadan kaldırmasıdır. DarkWatchman'ı fidye yazılımı dağıtımları için bir başlangıç ​​olarak kullanmak, fidye yazılımının çekirdek geliştiricilerine, fidye pazarlığının ötesinde operasyon üzerinde daha iyi bir gözetim sağlamaktadır.

Keylogger'ı kayıt defterine yükleme işlevleri

Rus sevkiyat şirketi Pony Express tarafından teslim edilen bir sevkiyat için "Ücretsiz depolama süresi sona erme bildirimi" gibi görünen hedef odaklı kimlik avı e-postaları aracılığıyla dağıtılan DarkWatchman, daha fazla kötü amaçlı etkinlik için gizli bir ağ geçidi sağlar. E-postalar, Windows sistemine bulaşmak için gerekli yükü içeren bir ZIP arşivi biçimindeki sözde bir faturayla birlikte gelir.

Yeni RAT, hem dosyasız bir JavaScript RAT hem de C# tabanlı bir keylogger'dır. İkincisi, algılanmayı önlemek için kayıt defterinde depolanır. Her iki bileşen de son derece hafiftir. Kötü amaçlı JavaScript kodu yaklaşık 32 kb alırken, keylogger 8.5 kb'de zar zor kaydolur.

"İkilinin kayıt defterinde kodlanmış metin olarak saklanması, DarkWatchman'in kalıcı olduğu ancak yürütülebilir dosyasının hiçbir zaman (kalıcı olarak) diske yazılmadığı anlamına gelir. Ayrıca DarkWatchman operatörlerinin, her çalıştırıldığında kötü amaçlı yazılımı güncelleyebileceği (veya değiştirebileceği) anlamına gelmektedir."

Kurulduktan sonra, DarkWatchman isteğe bağlı ikili dosyaları çalıştırabilir, DLL dosyalarını yükleyebilir, JavaScript kodunu ve PowerShell komutlarını çalıştırabilir, dosyaları uzak bir sunucuya yükleyebilir, kendini güncelleyebilir ve hatta güvenliği ihlal edilmiş makineden RAT ve keylogger'ı kaldırabilir. JavaScript rutini ayrıca, her kullanıcı oturum açtığında kötü amaçlı yazılımı çalıştıran zamanlanmış bir görev oluşturarak kalıcılığı sağlamaktan da sorumludur.

Araştırmacılar, "Keylogger'ın kendisi C2 ile iletişim kurmuyor veya diske yazmıyor" dedi. "Bunun yerine, keylog'unu arabellek olarak kullandığı bir kayıt defteri anahtarına yazar. Çalışması sırasında, RAT, günlüğe kaydedilen tuş vuruşlarını C2 sunucusuna iletmeden önce bu arabelleği sıyırır ve temizler."

DarkWatchman henüz bir bilgisayar korsanlığı grubuna atfedilmedi, ancak Prevailion, kötü amaçlı yazılımın Rusya'da bulunan kurbanları özel olarak hedef almasına ve kaynak kod örneklerinde tanımlanan yazım hataları ve yazım hatalarına dikkat çekmenin yanı sıra mürettebatı "yetenekli bir tehdit aktörü" olarak nitelendirdi. , operatörlerin anadili İngilizce olmama olasılığını artırıyor.

Araştırmacılar, "DarkWatchman'ın yazarlarının, güvenlik araçlarının ve analistlerin algılama eşiğinin altında veya çevresinde çalışmak için Windows Kayıt Defteri'nin karmaşıklığını ve opaklığını belirlemiş ve bundan yararlanmış gibi görünüyor" dedi. "Kayıt defteri değişiklikleri olağandır ve hangi değişikliklerin anormal veya normal işletim sistemi ve yazılım işlevlerinin kapsamı dışında olduğunu belirlemek zor olabilir."

Bu makalemiz ilginizi çektiyse sizleri Android Truva Atı SOVA makalemize bekliyoruz: https://www.ozztech.net/siber-guvenlik/endise-edici-bir-sekilde-gelismis-android-truva-ati-sova/


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.