27 Nis 2023Hacker HaberleriKötü Amaçlı Yazılım Analizi / Siber Tehdit

Uzaktan Erişim Truva Atları (RAT’ler), ANY’de üçüncü lider pozisyonu aldı. Koşar 2023 1. Çeyrek raporu en yaygın kötü amaçlı yazılım türlerinde, kuruluşunuzun bu tehditle karşı karşıya kalma olasılığını oldukça yüksek kılar.

LimeRAT, en iyi bilinen RAT ailesi olmasa da, onu farklı kılan çok yönlülüğüdür. Geniş bir yelpazede kötü amaçlı faaliyetler gerçekleştirme yeteneğine sahip olan bu yazılım, yalnızca veri hırsızlığında değil, aynı zamanda DDoS bot ağları oluşturmada ve kripto madenciliğini kolaylaştırmada da başarılıdır. Kompakt ayak izi, uç nokta algılama sistemlerinden kaçmasına izin vererek onu sinsi bir düşman haline getirir. İlginç bir şekilde, LimeRAT, ANY.RUN’un 2023’ün 1. Çeyreğinde yüklemeler açısından üçüncü en popüler kötü amaçlı yazılım ailesi olarak sıraladığı njRAT ile benzerlikler paylaşıyor.

HERHANGİ BİR ÇALIŞTIR araştırmacılar yakın zamanda bir LimeRAT örneğinin derinlemesine analizini yaptılar ve yapılandırmasını başarıyla çıkardılar. Bu yazıda, bu analize kısa bir genel bakış sunacağız.

Toplanan eserler

SHA1

14836dd608efb4a0c552a4f370e5aafb340e2a5d

SHA256

6d08ed6acac230f41d9d6fe2a26245eeaf08c84bc7a66fddc764d82d6786d334

MD5

d36f15bef276fd447e91af6ee9e38b28

SSDEEP

3072:DDiv2GSyn88sH888wQ2wmVgMk/211h36vEcIyNTY4WZd/w1UwIwEoTqPMinXHx+i:XOayy

IPv4:

IOC Tanım

20[.]199.13.167:8080

LimeRAT’ın Komuta ve Kontrol sunucusu

Etki alanları:

IOC Tanım

https://pastebin[.]com/raw/sxNJt2ek

LimeRAT tarafından orijinal Komuta ve Kontrol sunucusunu gizlemek için kullanılan PasteBin

MITRE ATT&CK®

taktik teknik Tanım

TA0005: Savunmadan Kaçınma

T1027: Gizlenmiş Dosyalar veya Bilgiler

Kötü amaçlı yazılım, yöntem adlarını, sınıf adlarını vb. soymak için obfuscator kullanıyor.

TA0005: Savunmadan Kaçınma

T1027: Gizlenmiş Dosyalar veya Bilgiler

Kötü amaçlı yazılım, verileri kodlamak ve kodunu çözmek için Base64 algoritmasını kullanır

TA0005: Savunmadan Kaçınma

T1027: Gizlenmiş Dosyalar veya Bilgiler

Kötü amaçlı yazılım, verileri şifrelemek ve şifresini çözmek için AES algoritmasını kullanır

ANY.RUN, 7. Cyberbirthdsay’i kutlayan sınırlı süreli bir teklif yürütüyor

ANY.RUN, çok sayıda aile için kötü amaçlı yazılım yapılandırmalarını otomatik olarak ayıklayarak araştırmacıların saatlerce uğraşmasını sağlayan etkileşimli bir bulut kötü amaçlı yazılım sanal alanıdır.

Hizmet 7. yılını kutluyor ve tüm araştırmacıları, genellikle profesyonel planlar için ayrılmış, 5 Mayıs’a kadar tamamen ücretsiz olan gelişmiş analiz özelliklerini denemeye davet ediyor. Bu, yürütme ortamının Windows 8, 10 veya 11 ile yapılandırılmasını içerir.

ANY.RUN’un kötü amaçlı yazılım analizi iş akışınızı geliştirdiğini keşfederseniz, aynı zamanda bir sınırlı promosyon5 Mayıs’a kadar kullanılabilir: yıllık veya iki yıllık abonelik için kaydolduğunuzda 6 veya 12 aylık ücretsiz kullanım elde edinsırasıyla.

LimeRAT Kötü Amaçlı Yazılım

LimeRAT’ın şifre çözme algoritmasını yıkmak

Makalenin özet halini burada paylaşacağız. Eksiksiz bir izlenecek yol ve genişletilmiş analiz için HERHANGİ BİRİ bölümüne gidin. Kullandıkları iş akışı hakkında daha fazla bilgi edinmek istiyorsanız RUN’un bloguna bakın.

İncelenmekte olan örnek .NET’te yazıldığından, araştırmacılar kodu incelemek için DnSpy’ı kullandılar. Gizleme tekniklerinin kullanıldığı hemen belli oldu:

LimeRAT Kötü Amaçlı Yazılım
DnSpy’da örnek genel bakış; şaşırtma tekniklerinin kullanıldığına dikkat edin

Kodun daha yakından incelenmesi, kötü amaçlı yazılım yapılandırmasına benzeyen bir sınıf ortaya çıkardı. Bu sınıf içinde, hem base64 ile kodlanmış hem de şifrelenmiş bir dize içeren bir alan vardı.

LimeRAT Kötü Amaçlı Yazılım
Muhtemelen, kötü amaçlı yazılım yapılandırma sınıfı

Kod incelemesine devam eden ANY.RUN araştırmacıları, dizgenin şifresini çözmekten sorumlu bir işlevi saptadı. DnSpy’da “Okuma ölçütü” filtresini kullanarak, dizinin okunduğu yöntemleri izlediler, bu da toplam iki yönteme yol açtı. İlk yöntem sonuçsuz kaldı, ancak ikincisi ilginç görünüyordu:

LimeRAT Kötü Amaçlı Yazılım
İkinci x-ref daha ilginç. WebClient.DownloadString yönteminde dizemizi kullanıyor gibi görünüyor

Bu yöntemin şifre çözme işleminden sorumlu olduğu ortaya çıktı. Yakından inceleyerek, LimeRAT’ın yapılandırmasının şifresini çözdüğü süreci yeniden yapılandırmak mümkün oldu:

  1. örnekleri RijndaelYönetilen Ve MD5CryptoServiceProvider sınıflar somutlaştırılır. MSDN’ye göre, RijndaelYönetilen AES şifreleme algoritmasının eski bir uygulamasıdır (GÖNYE T1027), sırasında MD5CryptoServiceProvider MD5 karmalarını hesaplar.
  2. AES anahtarını depolamak için sıfırlarla başlatılan 32 baytlık bir dizi oluşturulur.
  3. Anahtar, önce konfigürasyon sınıfı içindeki farklı bir dizgenin MD5 hash’i hesaplanarak oluşturulur (analizimizde, dize “20[.]199.13.167”).
  4. İlk 15 bayt, ardından hesaplanan hash’in ilk 16 baytı önceden oluşturulmuş diziye kopyalanır. Dizinin son elemanı sıfır olarak kalır.
  5. Türetilmiş anahtar, dizinin key özelliğine atanır. RijndaelYönetilen örneğin, Mode özelliği şu şekilde yapılandırılırken CipherMode.ECB.
  6. Sonuç olarak, birincil dizi, kod çözme işlemine tabi tutulur. Temel64 kullanarak algoritma ve şifre çözme AES256-ECB algoritma.

Dizenin şifresini çözmek, bir PasteBin notuna bir bağlantı ortaya çıkardı: https://pastebin[.]com/raw/sxNJt2ek. Bu notta, LimeRAT’ın Komuta ve Kontrol (C2) sunucusu vardı:

LimeRAT Kötü Amaçlı Yazılım
LimeRATs C2, şifresi çözülmüş verilerle keşfedildi

sarmak için

LimeRAT yapılandırma şifre çözme işlemimize ilişkin bu kısa genel bakışı anlayışlı bulduğunuzu umarız. Daha kapsamlı bir inceleme için şu adrese gidin: ANY.RUN’un blogundaki makalenin tamamı, adımlarla ilgili ek içerik almak ve CyberChef’i kullanarak şifre çözme sürecini kontrol etmek için.

Ayrıca, HERHANGİ BİRİNİ unutmayın. RUN şu anda aboneliklerde indirimler ve Windows 8, 10 ve 11 işletim sistemleri ile yürütme ortamlarını yapılandırma yeteneği dahil olmak üzere ücretsiz planlar için genişletilmiş bir özellik seti içeren sınırlı süreli fırsatlar sunuyor. Bu teklif 5 Mayıs’ta sona eriyor.

Bu, ANY.RUN’u test etmek ve iş akışınızı kolaylaştırıp kolaylaştırmadığını belirlemek veya rakipsiz bir fiyata abonelik sağlamak ve statik ve davranışsal analiz yoluyla önemli ölçüde zaman tasarrufunun avantajlarından yararlanmak için ideal bir fırsattır.

Bu teklif hakkında daha fazla bilgi edinmek için şu adresi ziyaret edin: ANY.RUN planları.



siber-2