Güvenlik uzmanları bu hafta, tehdit gruplarının kodu eski araçlardan daha genelleştirilmiş çerçevelere dönüştürmeye devam ettiğini, bu trendin kod tabanları daha fazla modülerlik içerdiği için devam edeceğini söyledi.
Siber güvenlik hizmetleri firması Mandiant bir analizde, en son örnekte, Ursnif’in arkasındaki tehdit grubu – nam-ı diğer Gozi – yakın zamanda aracı finansal hizmetlere odaklanmaktan daha genel arka kapı yeteneklerine taşıdı. Şirketin LDR4 olarak adlandırdığı yeni varyant, büyük olasılıkla fidye yazılımının yayılmasını ve gasp için veri hırsızlığını kolaylaştırmayı amaçlıyor.
Üst düzey yönetici Jeremy Kennelly, modüler kötü amaçlı yazılımın diğerlerinin yanı sıra Trickbot, Emotet, Qakbot, IcedID ve Gootkit’e bankacılık Truva atları olarak başlayan ancak tamamen yeni bir kod tabanı oluşturma geliştirme çabası gerektirmeden arka kapı olarak yeniden tasarlanan araçlar olarak katılıyor. Mandiant’ta mali suç analizi için.
“Bankacılık Truva Atları üzerinde çalışan geliştiriciler, kötü amaçlı yazılımlarını izinsiz giriş işlemlerini desteklemek için bir arka kapı olarak yeniden donatmak için birden fazla yaklaşım benimsedi, ancak büyük bir kodun yeniden yazılması genellikle gerekli görülmedi” diyor. “Bu kötü amaçlı yazılım aileleri – özünde – yalnızca ‘bankacı’ işlevselliğini sağlayan tarihsel olarak yüklenmiş ikincil bileşenlere sahip modüler arka kapılardır.”
Mandiant’ın Ursnif analizi, özellikle bir hatanın savunuculara bir saldırıyı engelleme ve araştırmacılara saldırganı yakalamanın bir yolunu verebileceği durumlarda, birden fazla kod tabanını korumanın kötü amaçlı yazılım geliştiricileri için zorlu bir görev olduğuna işaret ediyor. Tek bir modüler kod tabanını sürdürmek çok daha ölçeklenebilir, şirketin bu haftaki analizi açıklandı.
Arka Kapı Modülerliğine Doğru Kötü Amaçlı Yazılım Hareketi
Cofense’de kıdemli bir istihbarat analisti olan Max Gannon, kötü amaçlı yazılım geliştiricilerinin daha genel ve modüler kodlara geçmesinin şaşırtıcı olmadığını söylüyor.
“Bazı durumlarda, geleneksel olarak bir arka kapı olarak görülen amaca yönelik bir uzaktan erişim Truva Atı (RAT), tehdit faaliyeti için daha elverişli olabilir” diyor. “Ancak, birçok tehdit aktörü yalnızca bir arka kapıdan fazlasını istiyor ve birçok kötü amaçlı kötü amaçlı yazılım ailesi, yalnızca arka kapı erişimini içeren çok amaçlı araçlar haline geldi.”
Yeraltındaki siber suçlularda araçların uzmanlaşması da eski kod tabanlarının yeniden kullanılmasının bir nedenidir. Bu araçların geliştiricileri, ilk erişim, yanal hareket veya veri hırsızlığı gibi saldırı alanlarına belirli araçlara odaklanarak, kendilerini rakiplerinden farklılaştırabilir ve benzersiz bir dizi özellik sunabilir. Trend Micro’nun tehdit istihbaratı başkan yardımcısı Jon Clay, mevcut kod tabanlarını kullanmak da zaman kazandırır ve bu tür projeleri modüler hale getirmek aracın müşterinin – okuma, “saldırganın” – ihtiyaçlarına göre özelleştirilmesine olanak tanır.
“Bu araç setlerinin çoğunun arkasındaki kodlayıcılar, yeni başlayanlara ve diğer kötü niyetli aktörlere saldırı yürütmek için hazır kitler sundukları için bunları yaratıyor ve siber suçlu yeraltı pazarlarında satıyorlar” diyor. “Bunların birçoğu artık saldırıları ve kurban bilgilerini/verilerini yönetmek için GUI arayüzlerinin yanı sıra otomasyonlar sunuyor.”
Orijinal Ursnif kodu 2000’lerin ortalarında ortaya çıktı. On milyonlarca ve muhtemelen yüz milyonlarca dolarlık hırsızlıklarda kullanılan Zeus bankacılık Truva Atı, bir kaynak kodu sızıntısıyla hızlandırılarak benimsenmesiyle benzer bir yörüngeye sahipti. Başka bir bankacılık Truva Atı olan Emotet, şimdi genel bir arka kapı haline geldi ve geliştirme grubunun diğer siber suçlulara bir hizmet olarak erişim sunmasına izin verdi; bu, başlangıçta bankacılık Truva Atı olarak oluşturulan başka bir Truva atı olan Qakbot tarafından da gösterilen bir iş ilişkisidir.
Mandiant’s Kennelly, tüm bu programların modülerlik avantajına sahip olduğunu söylüyor.
“Geniş bir şekilde arka kapı olarak yeniden kullanılan tüm bankacılar zaten modülerdi ve bu da önemli operasyonel esneklik sağlarken çekirdek kötü amaçlı yazılımın karmaşıklığını sınırlama avantajına da sahip” diyor. “Bu yerleşik kötü amaçlı yazılım ailelerinin ayrıca kanıtlanmış bir sicili ve bunları kullanan oyunculara genel bir aşinalığı vardı.”
İsviçre Çakısı Kötü Amaçlı Yazılım Teslimatı
İşlevsellikteki değişikliklerden ziyade, etiketlemenin kötü amaçlı yazılım tasarımındaki değişiklikleri yakalaması gerektiğinden, saldırgan araçlarını kategorilere ayırmadaki birçok evrim meydana geldi. Kod tabanlarını modüler olacak şekilde yeniden tasarlayarak, bir aracı bankacılık Truva Atı, spam botu veya solucan gibi tek bir şey olarak tanımlamak çok daha zor hale gelir. Tek bir yeni modül eklemek, kodun etiketini değiştirir.
Örneğin geçmişte, bilgisayar virüsleri dosyalara bulaşarak yayılırken, solucanlar daha hızlı ve daha geniş bir alana yayılmak için otomatik tarama ve istismar kullanıyordu. Bununla birlikte, bir dizi Truva atı, işlevselliklerden birini veya her ikisini bir araya getirerek daha genel bir terime yol açtı: kötü amaçlı yazılım veya kötü amaçlı yazılım.
Saldırgan araçlarının sınıflandırılmasında da benzer bir gelişme yaşandı. Codefense’den Gannon, başlangıçta bankacılık Truva atları, RAT’ler veya tarama araçları olarak kabul edilen programların artık daha genel çerçevelerin yetenekleri olduğunu söylüyor.
“Arka kapıyı, normal güvenlik önlemlerini aşan erişim sağlamak için bir makinede oturan bir yazılım olarak düşünürsek, bankacılık Truva Atları, olağan işlevlerini yerine getirmek için doğal olarak arka kapı görevi görür, bu nedenle hemen hemen her bankacılık Truva Atı, ihtiyaç duymadan tek olarak kullanılabilir. birçok değişiklik için” diyor. “Fark genellikle kullanıcının niyetindedir.”
Modüler Kötü Amaçlı Yazılımlara Karşı Nasıl Korunulur
Tehditle mücadele etmek için şirketler, ağlarında bir arka kapı veya RAT kullanıldığına dair açık işaretler arayan araçlara sahip olmalıdır. Kimlik avı saldırıları, son kullanıcının sistemlerini tehlikeye atmanın yaygın bir yolu olduğundan, çok faktörlü kimlik doğrulama (MFA) ve çalışan eğitimi, işletmelerin saldırılara karşı sertleşmesine de yardımcı olabilir.
Trend Micro’dan Clay, genel olarak sistemlerde değişiklik ve ağdaki anormal trafik konusunda görünürlüğe sahip olmanın çok yardımcı olabileceğini söylüyor.
“Bilinmesi gereken en önemli şey, çoğu durumda bu araçların kuruluş içinde kullanıldığına dair erken işaretlerin olduğu ve eğer görülürse, onlara karşı aktif bir kampanya olduğu için çok ciddiye alınması gerektiğidir” diyor.