Çince konuşan bilgisayar korsanları, standart güvenlik kontrollerini atlatmak için Windows Installer (MSI) dosya biçiminden yararlanıyor.
Bilgisayar korsanlarının kötü amaçlı yazılımları aynı bilindik biçimlerde ilettiği bilinmektedir: yürütülebilir dosyalar, arşiv ve Microsoft Office dosyaları, vb. yeni kötü amaçlı yazılım yükleyicisi Cyberint araştırmacılarının “UULoader” olarak adlandırdığı, Çince ve Korece konuşanları hedefleyen saldırı, daha az yaygın olan MSI formunda geliyor.
Aslında, Cyberint bunu fark eden tek satıcı değil Asya’dan gelen kötü amaçlı MSI’larda artış bu yaz. Yeni gelişen trend, tehdit aktörlerinin eksikliklerini görmezden gelip güçlü yanlarından faydalanmalarına olanak tanıyan bazı yeni gizlilik taktikleri sayesinde kısmen gerçekleşmiş olabilir.
“Bu pek yaygın bir durum değil, [since] Kötü amaçlı MSI dosyaları statik tarayıcılar tarafından oldukça kolay bir şekilde işaretlenir,” diye açıklıyor Cyberint güvenlik araştırmacısı Shaul Vilkomir Preisman. “Ancak birkaç akıllıca, küçük numara kullanırsanız — dosya başlığını soyma, bir yan yükleyici kullanma ve bunun gibi şeyler — sizi kurtaracaktır.”
UULoader’ın Gizlilik Mekanizmaları
UULoader’ın arkasındaki kimliği belirsiz ancak muhtemel Çinli tehdit aktörü, bunu öncelikle kimlik avı e-postalarıyla yayıyor gibi görünüyor. Bunu, AnyDesk (kurumsal hedeflemeyi gösterebilir) gibi meşru bir uygulama için bir yükleyici veya Google Chrome gibi bir uygulama için bir güncelleme olarak gizleyecekler.
Bu, UULoader’ın meşru bir uygulama gibi imzalanmaması ve güvenilir olmaması nedeniyle herhangi bir Windows sisteminde hemen alarmları tetiklemelidir. Preisman, bunun üstesinden gelmek için, “Dosya başlığı soyma ve DLL yan yüklemesi gibi birkaç oldukça basit statik kaçınma mekanizması kullanır, bunların birleşimi onu ilk bakışta çoğu statik tarayıcı için neredeyse görünmez hale getirir.” diyor.
Herhangi bir dosyadaki ilk birkaç bayt, işletim sisteminin ve uygulamaların ne tür bir dosyayla uğraştıklarını bilmelerini sağlayan bir ad etiketi gibidir. UULoader, bu başlığı —bu durumda “MZ”— çekirdek yürütülebilir dosyalarından kaldırır, böylece bunların bir güvenlik programının ilgilenebileceği türden dosyalar olarak sınıflandırılmasını önler. Preisman, bunun işe yaradığını söylüyor çünkü “yanlış pozitiflere daha az eğilimli olma çabasıyla, statik tarayıcılar sınıflandıramadıkları şeyleri göz ardı ediyor ve bunlarla ilgili hiçbir şey yapmıyor.”
Peki neden her kötü amaçlı yazılım bunu yapmıyor? Çünkü “Dosya başlıklarını çıkardığınızda, dosyayı bir şekilde tekrar bir araya getirmenin bir yolunu bulmanız gerekir, böylece kurbanınızın makinesinde çalıştırılabilir,” diye belirtiyor. UULoader bunu “M” ve “Z” karakterlerine karşılık gelen iki, tek baytlık dosyayla yapıyor. Basit bir komutla, iki harf esasen bir isim etiketini sonradan yeniden biçimlendirmek için yapılır ve programlar gerektiği gibi çalışabilir.
UULoader, kurbanını şaşırtmak için birkaç numara daha kullanır. Birincisi, meşru bir aldatmaca dosyası çalıştırır — örneğin, ilk başta iddia ettiği gerçek Chrome yükleyicisi. Ayrıca, oluşturduğu klasörü Microsoft Defender’da bir dışlama olarak kaydeden bir VBScript (VBS) çalıştırır.
Genel olarak, gizlilik mekanizmaları geçen ay VirusTotal’da yapılan ilk tespitlerin neden tamamen zararsız sonuçlar verdiğini açıklayabilir. Preisman, “İlk görüldüğünde, kimse bu örnekleri tespit etmiyor. Sadece bir süre bilindikten sonra – birkaç gün ve deneme ortamları bunları işlemek için gerçekten zaman bulduktan sonra – bu örneklerde tespitler artıyor,” diyor.
Güneydoğu Asya’daki MSI’lar
Enfeksiyon zincirinin sonunda UULoader’ın düştüğü gözlemlendi Hayaletve Mimikatz gibi ek hackleme araçları. Ve bu araçlar çok yaygın olarak popüler ve çeşitli saldırı türlerine uygulanabilir olduğundan, bu enfeksiyonların tam doğası ve amacı henüz bilinmemektedir.
Gh0stRAT, MSI kullanımının arttığı Çin çevrelerinde yaygın bir ticari hack aracıdır.
“Bunu çoğunlukla Güneydoğu Asya’da görüyoruz,” diye bildiriyor Preisman, “özellikle geçen ay, oldukça önemli bir artış gördüğümüzde. Bir haftada beş, 10, belki 20 vaka gördük ve geçen ay önemli bir artış oldu – belki iki katı.”
Belki de MSI dosyaları diğer dosya türlerinin sahip olduğu üne kavuşana kadar bu durum böyle devam edecek.
“Günümüzde,” diyor, “çoğu kullanıcı Word belgesine veya PDF’e karşı biraz daha şüpheci davranıyor. Windows Yükleyicileri “Aslında çok yaygın değiller, ancak kötü amaçlı yazılımları bir araya getirmenin akıllıca bir yolu.”