Siber güvenlik araştırmacıları, Equation Group tarafından kullanılan tam özellikli bir kötü amaçlı yazılım çerçevesi olan DanderSpritz’in dağıtımından kaynaklanan sömürü sonrası farklı aşamaların günlüğe kaydedilmesine adanmış DoubleFeature adlı bir sisteme ayrıntılı bir bakış sundu.
DanderSpritz, 14 Nisan 2017’de, Shadow Brokers olarak bilinen bir bilgisayar korsanlığı grubunun, diğerlerinin yanı sıra, “başlıklı bir gönderi altında, istismar aracını sızdırmasıyla ortaya çıktı.Çeviride KaybolmakSızıntılara ayrıca, ABD Ulusal Güvenlik Ajansı (NSA) tarafından geliştirilen ve tehdit aktörlerinin yama uygulanmamış Windows bilgisayarlarında NotPetya fidye yazılımı saldırısı gerçekleştirmesini sağlayan bir siber saldırı açığı olan EternalBlue da dahil edildi.
Araç, Windows ve Linux ana bilgisayarlarında kullanım sonrası etkinlikler için düzinelerce eklentiye dayanan modüler, gizli ve tamamen işlevsel bir çerçevedir. DoubleFeature, Check Point araştırmacıları olan “DanderSpritz’i taşıyan kurban makineler için teşhis aracı” olarak işlev gören bunlardan biri. söz konusu Pazartesi günü yayınlanan yeni bir raporda.
İsrailli siber güvenlik firması, “DoubleFeature, DanderSpritz modüllerini ve bunlar tarafından tehlikeye atılan sistemleri daha iyi anlamak için bir tür Rosetta Stone olarak kullanılabilir” diye ekledi. “Bu bir olay müdahale ekibinin boş hayali.”
Bir hedef makinede kurulabilecek araç türlerinin bir günlüğünü tutmak için tasarlanan DoubleFeature, virüs bulaşmış makineden saldırgan kontrollü bir sunucuya günlük bilgilerini sızdırmak için bir raporlama aracı olarak da kullanılan Python tabanlı bir panodur. Çıktı, “DoubleFeatureReader.exe” adlı özel bir yürütülebilir dosya kullanılarak yorumlanır.
DoubleFeature tarafından izlenen eklentilerden bazıları, UnitedRake (aka Denklemİlaç) ve PeddleCheap, StraitBizarre adlı gizli bir veri sızma arka kapısı, KillSuit (aka GrayFish) adlı bir casusluk platformu, DiveBar adlı bir kalıcılık araç seti, FlewAvenue adlı gizli bir ağ erişim sürücüsü ve güvenliği ihlal edilmiş sistemin gerçekten olup olmadığını doğrulayan MistyVeal adlı bir doğrulayıcı implantı. gerçek bir kurban makinesi ve bir araştırma ortamı değil.
Araştırmacılar, “Bazen, üst düzey APT araçları dünyası ve sıradan kötü amaçlı yazılım dünyası iki paralel evren gibi görünebilir” dedi. “Ulus-devlet aktörleri, [maintain] gizli, devasa kod tabanları, pratik ihtiyaç nedeniyle onlarca yıldır geliştirilmiş devasa bir özellik yelpazesine sahip. Görünüşe göre biz de DanderSpritz’i bize ifşa eden 4 yıllık sızıntıyı yavaş yavaş çiğniyoruz ve yeni içgörüler kazanıyoruz.”
.
siber-2