Bu hafta araştırmacılar, çeşitli tehdit aktörlerinin bir dizi bilgi hırsızı ve uzaktan erişim Truva atı (RAT) dağıtmak için kullandığı karmaşık, kaçamak bir şifreleyici konusunda uyardılar.
“DarkTortilla” olarak adlandırılan crypter, yaygın ve kalıcıdır ve kötü amaçlı yazılımdan koruma ve adli tıp araçlarından kaçınmasına yardımcı olmak için tasarlanmış birçok özelliği bir araya getirir. .NET tabanlı şifreleyici, çok sayıda kötü amaçlı yük sağlamak üzere yapılandırılabilir ve potansiyel olarak bir kurbanın sistemine yasa dışı içerik yerleştirmek için kullanılabilir. Ayrıca hem kullanıcıları hem de sanal alanları iyi huylu olduğuna inandırabilir.
DarkTortilla’yı ilk olarak geçen Ekim ayında tespit eden Secureworks araştırmacıları, bunun en az Ağustos 2015’ten beri aktif olduğuna inanıyor. Secureworks’ün Karşı Tehdit Birimi’nde (CTU) kıdemli güvenlik araştırmacısı olan Rob Pantazopoulos, tehdit aktörlerinin geçmişte DarkTortilla’yı bir tehdit oluşturmak için kullandığını söylüyor. Remcos, BitRat, FormBook, WarzoneRat, Snake Keylogger, LokiBot, QuasarRat, NetWire ve DCRat dahil olmak üzere çok çeşitli diğer kötü amaçlı yazılımlar. Birkaç durumda, crypter ayrıca Metaspolit ve Cobalt Strike gibi yükleri teslim etmek için hedefli saldırılarda da kullanılmıştır.
Son zamanlarda, esas olarak RAT’ler AgentTesla, NanoCore ve AsyncRat gibi kötü amaçlı yazılımları ve ayrıca bilgi hırsızı RedLine’ı sunmak için kullanıldı.
Bu kadar yaygın olarak kullanılan bir kötü amaçlı yazılım dağıtıcısı için alışılmadık bir şekilde, bir tehdit aktörünün fidye yazılımı dağıtmak için DarkTortilla’yı kullandığı yalnızca dokuz örnek oldu ve bunlardan yedisi Babuk fidye yazılımı ailesini içeriyordu.
Yaygın ve Çok Yönlü
Pantazopoulos, “DarkTortilla, Secureworks için ilk olarak Ekim 2021’de, müşteri ortamlarında kötü amaçlı PowerShell yürütmek için bir Microsoft Exchange uzaktan kod yürütme güvenlik açığından (CVE-2021-34473) yararlanan bir tehdit aktörü tespit ettiğimizde ortaya çıktı” diyor. “Saldırı zinciri sonunda, şimdi DarkTortilla olarak adlandırdığımız .NET kötü amaçlı yazılımının indirilmesine ve yürütülmesine yol açtı.”
Secureworks araştırmacıları, Ocak 2021 ile Mayıs arasında ortalama 93 benzersiz DarkTortilla örneği tespit etti her hafta VirusTotal’a yükleniyor. Güvenlik sağlayıcısı, kötü amaçlı yazılımı izlemeye başladığından beri 10.000’den fazla benzersiz DarkTortilla örneği saydığını söylüyor. Birçok kötü amaçlı yazılım aracı gibi, saldırganlar da DarkTortilla’yı dağıtmak için .ISO, .ZIP ve .IMG gibi dosya ekleri içeren spam e-postaları kullanıyor. Bazı durumlarda, kötü amaçlı yazılımı iletmek için kötü amaçlı belgeler de kullandılar.
Son Derece Yapılandırılabilir
DarkTortilla’yı tehlikeli yapan şey, yüksek derecede yapılandırılabilirliği ve içerdiği çeşitli anti-analiz ve anti-kurcalama kontrolleri, algılama ve analizi oldukça zorlu hale getirir. Pantazopoulos, kötü amaçlı yazılımın örneğin kodunu gizlemek için DeepSea ve ConfuserEX gibi açık kaynaklı araçlar kullandığını ve ana yükünün tamamen bellekte yürütüldüğünü söylüyor.
Ayrıca, kötü amaçlı yazılımın dosya sistemine dokunan tek bileşeni olan DarkTortilla’nın ilk yükleyicisi, minimum işlevsellik içerir ve bu da tespit edilmesini zorlaştırır.
“Tek işi, ilk yükleyicinin kaynakları içinde tipik olarak şifreli veri olarak depolanan çekirdek işlemciyi almak, kodunu çözmek ve yüklemektir” diye belirtiyor. Kodun kendisi doğası gereği geneldir ve uygulanan şaşırtma araçlarına bağlı olarak örnekler arasında değişiklik gösterme eğilimindedir. Araştırmacı, sonuç olarak Secureworks’ün kötü amaçlı yazılım için yalnızca bir avuç tutarlı işaretleyici tanımlayabildiğini ve bunların da yakında değişmesi muhtemel olduğunu söylüyor.
Güvenlik satıcısının DarkTortilla analizi, ilk yürütme sırasında yürütmeyi Windows %TEMP% dizinine taşıdığını gösterdi; Pantazopoulos’un savunucular için zahmetli olduğunu söylediği bir özellik. Bunu yapmanın bir faydası – saldırganın bakış açısından – DarkTortilla’nın virüslü bir sistemde saklanmasına izin vermesidir.
“İkincisi, DarkTortilla yapılandırmasında %Delay% yapılandırma öğesi tanımlanırsa, DarkTortilla’nın çalıştırılmasından ana yükün yürütülmesine kadar geçen süre katlanarak artar” diyor. Örneğin, yalnızca birkaç yapılandırma değişikliğiyle saldırganlar, kötü amaçlı yazılımı DarkTortilla yürütülebilir dosyası çalıştırıldıktan birkaç dakika sonra ana yükünü yürütecek şekilde ayarlayabilir.
“Buradaki etki, savunucuların numuneyi en popüler sanal alanlara gönderdiğinde, numunenin kötü niyetli bir şey yapmadan zaman aşımına uğraması ve sanal alanın numunenin iyi huylu olduğunu bildirebilmesidir.”
Hileler Çantası
DarkTortilla’nın püf noktaları, saldırganların kötü amaçlı yazılımın meşru bir uygulama olduğu, yürütmenin başarısız olduğu veya yazılımın bozulduğu hakkında özelleştirilebilir, sahte mesajlar görüntülemek için kullanabilecekleri bir mesaj kutusu içerir. Buradaki amaç yine kullanıcıları kandırarak sistemlerinde çalışan kötü amaçlı yazılımın zararsız olduğuna inandırmaktır.
Pantazopoulos, “Özellikler açısından bakıldığında, DarkTortilla’nın ‘eklentiler’ biçiminde çok sayıda ek yük sağlama yeteneğini çok ilginç buluyoruz,” diyor. Bir durumda, yapılandırılmış eklenti, kötü amaçlı yazılım arka planda yürütülürken açılan, zararsız bir tuzak Excel elektronik tablosuydu. Başka bir örnekte, Secureworks, yapılandırılmış eklentinin, kötü amaçlı yazılım yürütülürken çalışan meşru bir uygulama yükleyicisi olduğunu keşfetti. Böylece mağdur, meşru bir uygulama yüklediklerini varsaymıştır.
Birkaç durumda Secureworks, daha sonra çalıştırılmayan eklentileri diske bırakmak için DarkTortilla kullanan tehdit aktörlerini gözlemledi. Secureworks’ün şu ana kadar gözlemlediği 600’den fazla DarkTortilla eklentisinden yalnızca yedi tanesi diske bırakıldı ve yürütülmedi.
Dosya türleri, yürütülebilir dosyalar ve yapılandırma dosyalarından PDF belgelerine kadar uzanıyordu ve genellikle kurbanın Belgelerim klasörüne atılıyordu. Pantazopoulos, “Bu şekilde kullanıldığını henüz görmemiş olsak da, bir tehdit aktörünün DarkTortilla’dan yararlanarak kurbanın dosya sistemine yasa dışı içerik yerleştirmesi çok olası” diyor Pantazopoulos.