DarkWatchman Yeni Dosyasız Kötü Amaçlı Yazılım, Algılamadan Kurtulmak için Windows Kayıt Defterini Depolama Olarak Kullanıyor
Bir sosyal mühendislik kampanyası aracılığıyla yayılan JavaScript tabanlı yeni bir uzaktan erişim Truva Atı (RAT), keşif ve analizden kaçınmak için algılama-kaçınma yöntemlerinin bir parçası olarak sinsi “dosyasız” tekniklerin kullanıldığı gözlemlendi.
Prevailion’un Düşman Karşı İstihbarat Ekibi’nden (PACT) araştırmacılar tarafından DarkWatchman olarak adlandırılan kötü amaçlı yazılım, komuta ve kontrol (C2) altyapısını tanımlamak için esnek bir etki alanı oluşturma algoritması (DGA) kullanır ve tüm depolama işlemleri için Windows Kayıt Defteri’ni kullanır, böylece kötü amaçlı yazılımdan koruma motorlarını rahat bir şekilde atlatır.
Araştırmacılar Matt Stafford ve Sherman Smith, RAT’ın “dosyasız kalıcılık, sistem içi etkinlik ve kendi kendini güncelleme ve yeniden derleme gibi dinamik çalışma zamanı yetenekleri için yeni yöntemler kullandığını” belirterek, “dosyasız kötü amaçlı yazılım tekniklerinde bir evrimi temsil ediyor” dedi. neredeyse tüm geçici ve kalıcı depolama için kayıt defterini kullanır ve bu nedenle diske hiçbir şey yazmaz ve çoğu güvenlik aracının algılama eşiğinin altında veya çevresinde çalışmasına izin verir.”
Prevailion, 12 Kasım 2021’den itibaren bir dizi kötü amaçlı yazılım eserinin tespit edildiği, hedeflenen kurbanlar arasında Rusya’daki kurumsal boyutta bir kuruluşun isimsiz olduğunu söyledi. Arka kapı ve kalıcılık özellikleri göz önüne alındığında, PACT ekibi DarkWatchman’ın ilk erişim ve keşif olabileceğini değerlendirdi.
Bu yeni gelişmenin ilginç bir sonucu, fidye yazılımı operatörlerinin, genellikle dosya kilitleyen kötü amaçlı yazılımları bırakmaktan ve dosya hırsızlığını yönetmekten sorumlu olan bağlı kuruluşları işe alma ihtiyacını tamamen ortadan kaldırmasıdır. DarkWatchman’ı fidye yazılımı dağıtımları için bir başlangıç olarak kullanmak, fidye yazılımının çekirdek geliştiricilerine, fidye pazarlığının ötesinde operasyon üzerinde daha iyi bir gözetim sağlamaktadır.
Rus sevkiyat şirketi Pony Express tarafından teslim edilen bir sevkiyat için “Ücretsiz depolama süresi sona erme bildirimi” gibi görünen hedef odaklı kimlik avı e-postaları aracılığıyla dağıtılan DarkWatchman, daha fazla kötü amaçlı etkinlik için gizli bir ağ geçidi sağlar. E-postalar, Windows sistemine bulaşmak için gerekli yükü içeren bir ZIP arşivi biçimindeki sözde bir faturayla birlikte gelir.
Yeni RAT, hem dosyasız bir JavaScript RAT hem de C# tabanlı bir keylogger’dır. İkincisi, algılanmayı önlemek için kayıt defterinde depolanır. Her iki bileşen de son derece hafiftir. Kötü amaçlı JavaScript kodu yaklaşık 32 kb alırken, keylogger 8.5 kb’de zar zor kaydolur.
“İkilinin kayıt defterinde kodlanmış metin olarak saklanması, DarkWatchman’in kalıcı olduğu ancak yürütülebilir dosyasının hiçbir zaman (kalıcı olarak) diske yazılmadığı anlamına gelir. Ayrıca DarkWatchman operatörlerinin, her çalıştırıldığında kötü amaçlı yazılımı güncelleyebileceği (veya değiştirebileceği) anlamına gelmektedir.”
Kurulduktan sonra, DarkWatchman isteğe bağlı ikili dosyaları çalıştırabilir, DLL dosyalarını yükleyebilir, JavaScript kodunu ve PowerShell komutlarını çalıştırabilir, dosyaları uzak bir sunucuya yükleyebilir, kendini güncelleyebilir ve hatta güvenliği ihlal edilmiş makineden RAT ve keylogger’ı kaldırabilir. JavaScript rutini ayrıca, her kullanıcı oturum açtığında kötü amaçlı yazılımı çalıştıran zamanlanmış bir görev oluşturarak kalıcılığı sağlamaktan da sorumludur.
Araştırmacılar, “Keylogger’ın kendisi C2 ile iletişim kurmuyor veya diske yazmıyor” dedi. “Bunun yerine, keylog’unu arabellek olarak kullandığı bir kayıt defteri anahtarına yazar. Çalışması sırasında, RAT, günlüğe kaydedilen tuş vuruşlarını C2 sunucusuna iletmeden önce bu arabelleği sıyırır ve temizler.”
DarkWatchman henüz bir bilgisayar korsanlığı grubuna atfedilmedi, ancak Prevailion, kötü amaçlı yazılımın Rusya’da bulunan kurbanları özel olarak hedef almasına ve kaynak kod örneklerinde tanımlanan yazım hataları ve yazım hatalarına dikkat çekmenin yanı sıra mürettebatı “yetenekli bir tehdit aktörü” olarak nitelendirdi. , operatörlerin anadili İngilizce olmama olasılığını artırıyor.
Araştırmacılar, “DarkWatchman’ın yazarlarının, güvenlik araçlarının ve analistlerin algılama eşiğinin altında veya çevresinde çalışmak için Windows Kayıt Defteri’nin karmaşıklığını ve opaklığını belirlemiş ve bundan yararlanmış gibi görünüyor” dedi. “Kayıt defteri değişiklikleri olağandır ve hangi değişikliklerin anormal veya normal işletim sistemi ve yazılım işlevlerinin kapsamı dışında olduğunu belirlemek zor olabilir.”
Bu makalemiz ilginizi çektiyse sizleri Android Truva Atı SOVA makalemize bekliyoruz: https://www.ozztech.net/siber-guvenlik/endise-edici-bir-sekilde-gelismis-android-truva-ati-sova/