Tehdit aktörleri, ticari olarak temin edilebilen Remcos uzaktan erişim aracına, tespit ve analizden kaçınmak ve Microsoft Windows cihazlarının tamamen ele geçirilmesini sağlamak için kötü amaçlı yazılım kodunu, JavaScript, VBScript ve PowerShell dahil olmak üzere çeşitli komut dosyası dillerinden oluşan çeşitli katmanlara sararak yeni bir kötü amaçlı görünüm kazandırdı.
Fortinet araştırmacısı Xiaopeng Zhang’ın yeni bulguları, Microsoft Windows kullanıcılarını, Microsoft Windows kullanıcılarının bu yeni ve geliştirilmiş sürümünü kullanan yeni bir kampanya konusunda uyarıyor. Remcos RAT Düzeltme eki uygulanmamış Microsoft Office ve WordPad örneklerinin dosyaları ayrıştırma biçiminden kaynaklanan bilinen bir uzaktan kod yürütme (RCE) güvenlik açığından yararlanan bir yazılım.
Rapora göre saldırı zinciri, kullanıcıları iş emri kılığında bir Excel dosyasına tıklamaya teşvik eden bir kimlik avı e-postasıyla başlıyor. Dosya etkinleştirildikten sonra hatayı (CVE-2017-0199) kullanır ve kötü amaçlı yazılım yükünü indirir.
Remco’nun Yeni Versiyonu Analizden Kaçınma Konusunda İyi
Araştırmacıya göre “Kodu, kendisini algılama ve analizden korumak için JavaScript, VBScript, Base64 kodlu, URL kodlu ve PowerShell dahil olmak üzere farklı komut dosyası dilleri ve kodlama yöntemleri kullanılarak birden fazla katmana sarılmıştır.” “İndirilen exe dosyası dllhost.exe başlatıldığında, bir grup dosyayı %AppData% klasörüne çıkarır. Önemli verilerin bir kısmı bu dosyalarda gizlidir.”
Buradan, ana bilgisayar, yalnızca 32 bit PowerShell işleminde çalışan, oldukça karmaşık bir PowerShell kodu parçasını çalıştırır. rapor eklendi.
Daha sonra, kötü amaçlı yazılım, analizi önlemek için gereksiz kodlardan oluşan bir fare yuvasının (kelime oyunu amaçlı) altına gizlenmiş kendi şifresini çözen kodu çalıştırır. Ancak bu, son sürümünün kullandığı tek karmaşık kaçırma tekniği değil. kötü niyetli Remcos RAT. Rapora göre kampanya, vektörlü bir istisna işleyicisinin kurulması ve sistem API’lerinin tutarsız, takip edilmesi zor bir yolla elde edilmesi ve çağrılması da dahil olmak üzere, saldırı zinciri boyunca çeşitli analiz engellerini ortaya çıkarıyor. Rapora göre, hata ayıklayıcıyı kontrol etmek için “ZwSetInformationThread()” adlı bir araç da kullanılıyor.
Zhang, “Kötü amaçlı kod, ThreadHideFromDebugger (0x11) ve geçerli iş parçacığını (0xFFFFFFFE) argümanıyla API ZwSetInformationThread()’ı çağırıyor. Windows’taki bu mekanizma, bir iş parçacığının varlığını hata ayıklayıcılardan gizleyebilir” diye açıkladı. “Geçerli işleme bir hata ayıklayıcı eklenmişse, API çağrıldığında hemen çıkar.”
Kötü amaçlı yazılım, tespit edilmekten kaçınmak için ayrıca bir API kancalama tekniği kullanıyor.
Rapora göre, “Kötü amaçlı kod, başlangıçta birden fazla API talimatının (örneğin iki talimat) yürütülmesini simüle ediyor ve ardından talimatların geri kalanını (3. talimattan başlayarak) yürütmek için API’ye atlıyor.” “Herhangi bir algılama koşulu tetiklendiğinde, mevcut işlem (PowerShell.exe) yanıt vermeyebilir, çökebilir veya beklenmedik bir şekilde çıkabilir.”
Hazır olduktan sonra tehdit aktörleri, kötü amaçlı sürümün bulunduğu şifrelenmiş bir dosyayı indirir. Remcos RAT Raporda, mevcut sürecin belleğinde çalıştırılan bu yazılımın, bu en son varyantı etkili bir şekilde dosyasız hale getirdiği belirtildi.
Yamalama, Eğitim ve Uç Nokta Korumasıyla Savunma
Zhang, “Remcos kurbanın cihazından bazı temel bilgileri topluyor” diye ekledi. “Daha sonra, kurbanın cihazının çevrimiçi ve kontrol edilmeye hazır olduğunu kaydetmek için toplanan verileri şifreliyor ve C2 sunucusuna gönderiyor.”
Anti-analiz ve zorlu gizleme teknikleri bir yana, Keeper Security’nin CEO’su ve kurucusu Darren Guccione, e-postayla gönderdiği bir açıklamada, düşük teknolojili kimlik avı ve sosyal mühendisliğin en tehlikeli kurumsal siber güvenlik tehditleri arasında yer almaya devam ettiğini belirtti.
“Bu saldırıların önlenmesi, teknik savunma ve çalışanların farkındalığının bir kombinasyonunu gerektirir” diye yazdı. “Olağandışı gönderenler, acil talepler ve şüpheli ekler gibi tehlike işaretlerinin tanınması insan hatasını azaltmaya yardımcı olabilir. Düzenli eğitim ve sağlam güvenlik önlemleri, çalışanların ilk savunma hattı olarak hareket etmelerini sağlar.”
SlashNext Email Security+ saha CTO’su Stephen Kowski’nin açıklamasına göre, bu tür saldırılara karşı savunmada güçlü uç nokta güvenliğinin yanı sıra temel yama yönetimi stratejisi de bir öncelik olmalıdır.
Kowski, “Koruma çok yönlü bir yaklaşım gerektirir: Microsoft Office’i tam olarak yamalı tutmak, kötü amaçlı ekleri gerçek zamanlı olarak tespit etmek ve engellemek için gelişmiş e-posta güvenliği uygulamak ve şüpheli PowerShell davranışlarını tanımlamak için modern uç nokta güvenliğini dağıtmak” dedi. “En önemlisi, bu saldırı kimlik avı e-postaları aracılığıyla sosyal mühendisliğe dayandığından, kuruluşların çalışanlarının şüpheli ekleri belirleme ve sipariş temalı tuzaklar satın alma odaklı düzenli güvenlik farkındalığı eğitimi almasını sağlamalıdır.”