İstemi Yabgu
Member
Siber güvenlik araştırmacıları, güvenlik yazılımından kaçmak için GuLoader adlı gelişmiş bir kötü amaçlı yazılım indirici tarafından benimsenen çok çeşitli teknikleri ortaya çıkardı.
CrowdStrike araştırmacıları Sarang Sonawane ve Donato Onofri, geçen hafta yayınlanan teknik bir yazıda, "Yeni kabuk kodu anti-analiz tekniği, sanal makine (VM) ile ilgili tüm diziler için tüm işlem belleğini tarayarak araştırmacıları ve düşman ortamları engellemeye çalışıyor."
CloudEyE olarak da adlandırılan GuLoader, virüslü makinelerde Remcos gibi uzaktan erişim truva atlarını dağıtmak için kullanılan bir Visual Basic Komut Dosyası (VBS) indiricisidir. İlk olarak 2019'da vahşi doğada tespit edildi.
Kasım 2021'de, RATDispenser adlı bir JavaScript kötü amaçlı yazılım türü, Base64 kodlu bir VBScript damlalığı aracılığıyla GuLoader'ı bırakmak için bir kanal olarak ortaya çıktı.
CrowdStrike tarafından ortaya çıkarılan yeni bir GuLoader örneği, VBScript'in, VBScript içinde gömülü kabuk kodunu belleğe enjekte etmeden önce anti-analiz kontrolleri gerçekleştiren bir sonraki aşama sağlamak üzere tasarlandığı üç aşamalı bir süreç sergiliyor.
Kabuk kodu, aynı anti-analiz yöntemlerini içermesinin yanı sıra, saldırganın seçtiği son bir yükü uzak bir sunucudan indirir ve güvenliği ihlal edilmiş ana bilgisayarda yürütür.
Araştırmacılar, "Kabuk kodu, yürütmenin her adımında birkaç anti-analiz ve anti-hata ayıklama numarası kullanır ve kabuk kodu, hata ayıklama mekanizmalarının bilinen herhangi bir analizini tespit ederse bir hata mesajı atar."
Bu, uzak bir hata ayıklayıcının ve kesme noktalarının varlığını algılamak ve bulunursa kabuk kodunu sonlandırmak için hata ayıklamayı önleme ve parçalarına ayırmayı önleme kontrollerini içerir. Kabuk kodu ayrıca sanallaştırma yazılımı için taramalar da içerir.
Ek bir yetenek, siber güvenlik şirketinin uç nokta algılama ve yanıt (EDR) çözümleri tarafından uygulanan NTDLL.dll kancalarını önlemek için "yedek kod enjeksiyon mekanizması" olarak adlandırdığı şeydir.
NTDLL.dll API çengelleme, tehdit aktörleri tarafından kötüye kullanıldığı bilinen API'leri izleyerek Windows'ta şüpheli işlemleri algılamak ve işaretlemek için kötü amaçlı yazılımdan koruma motorları tarafından kullanılan bir tekniktir.
Özetle, yöntem, bellek ayırmak (yani, NtAllocateVirtualMemory) için gerekli Windows API işlevini çağırmak ve işlem boşaltma yoluyla bu konuma isteğe bağlı kabuk kodu enjekte etmek için derleme yönergelerinin kullanılmasını içerir.
CrowdStrike araştırmacıları Sarang Sonawane ve Donato Onofri, geçen hafta yayınlanan teknik bir yazıda, "Yeni kabuk kodu anti-analiz tekniği, sanal makine (VM) ile ilgili tüm diziler için tüm işlem belleğini tarayarak araştırmacıları ve düşman ortamları engellemeye çalışıyor."
CloudEyE olarak da adlandırılan GuLoader, virüslü makinelerde Remcos gibi uzaktan erişim truva atlarını dağıtmak için kullanılan bir Visual Basic Komut Dosyası (VBS) indiricisidir. İlk olarak 2019'da vahşi doğada tespit edildi.
Kasım 2021'de, RATDispenser adlı bir JavaScript kötü amaçlı yazılım türü, Base64 kodlu bir VBScript damlalığı aracılığıyla GuLoader'ı bırakmak için bir kanal olarak ortaya çıktı.
CrowdStrike tarafından ortaya çıkarılan yeni bir GuLoader örneği, VBScript'in, VBScript içinde gömülü kabuk kodunu belleğe enjekte etmeden önce anti-analiz kontrolleri gerçekleştiren bir sonraki aşama sağlamak üzere tasarlandığı üç aşamalı bir süreç sergiliyor.
Kabuk kodu, aynı anti-analiz yöntemlerini içermesinin yanı sıra, saldırganın seçtiği son bir yükü uzak bir sunucudan indirir ve güvenliği ihlal edilmiş ana bilgisayarda yürütür.
Araştırmacılar, "Kabuk kodu, yürütmenin her adımında birkaç anti-analiz ve anti-hata ayıklama numarası kullanır ve kabuk kodu, hata ayıklama mekanizmalarının bilinen herhangi bir analizini tespit ederse bir hata mesajı atar."
Bu, uzak bir hata ayıklayıcının ve kesme noktalarının varlığını algılamak ve bulunursa kabuk kodunu sonlandırmak için hata ayıklamayı önleme ve parçalarına ayırmayı önleme kontrollerini içerir. Kabuk kodu ayrıca sanallaştırma yazılımı için taramalar da içerir.
Ek bir yetenek, siber güvenlik şirketinin uç nokta algılama ve yanıt (EDR) çözümleri tarafından uygulanan NTDLL.dll kancalarını önlemek için "yedek kod enjeksiyon mekanizması" olarak adlandırdığı şeydir.
NTDLL.dll API çengelleme, tehdit aktörleri tarafından kötüye kullanıldığı bilinen API'leri izleyerek Windows'ta şüpheli işlemleri algılamak ve işaretlemek için kötü amaçlı yazılımdan koruma motorları tarafından kullanılan bir tekniktir.
Özetle, yöntem, bellek ayırmak (yani, NtAllocateVirtualMemory) için gerekli Windows API işlevini çağırmak ve işlem boşaltma yoluyla bu konuma isteğe bağlı kabuk kodu enjekte etmek için derleme yönergelerinin kullanılmasını içerir.