Siber güvenlik araştırmacıları, sunucu olarak çalışan ve alınan modülleri bellekte yürüten kötü amaçlı bir yükleyiciye daha fazla ışık tutarak, kötü amaçlı yazılımın radarın altında uçmak için kullandığı “gelişmiş çok katmanlı sanal makinenin” yapısını ortaya çıkardı.
Kötü niyetli yükleyici olarak adlandırılan Wslink, ilk olarak Ekim 2021’de Slovak siber güvenlik şirketi ESET tarafından belgelendi ve son iki yılda Orta Avrupa, Kuzey Amerika ve Orta Doğu’yu kapsayan çok az telemetri isabeti tespit edildi.
Kötü amaçlı yazılım örneklerinin analizi, kullanılan ilk güvenlik açığı vektörü hakkında çok az ipucu verdi veya hiç ipucu vermedi ve bunun daha önce tanımlanmış bir tehdit aktörüne ait bir araç olduğunu düşündürecek hiçbir kod, işlevsellik veya operasyonel benzerlik ortaya çıkmadı.
NsPack adlı bir dosya sıkıştırma yardımcı programıyla paketlenmiş Wslink, işlem sanal makinesi (VM), bir uygulamayı, temeldeki donanımı veya işletim sistemini soyutlayan, platformdan bağımsız bir şekilde, bir şaşırtma yöntemi olarak ancak çok önemli bir farkla çalıştıran bir mekanizma.
“Gizleme motorları olarak kullanılan sanal makineler […] platformlar arası uygulamaları çalıştırmaya yönelik değildir ve genellikle bilinen bir amaç için derlenmiş veya birleştirilmiş makine kodunu alırlar. ISA [instruction set architecture]parçalarına ayırın ve bunu kendi sanal ISA’larına çevirin,” ESET kötü amaçlı yazılım analisti Vladislav Hrčka dedim.
“Bu şaşırtma tekniğinin gücü, VM’nin ISA’sının herhangi bir olası tersine mühendis tarafından bilinmemesi gerçeğinde yatmaktadır – sanal talimatların anlamını anlamak için çok zaman alıcı olabilen VM’nin kapsamlı bir analizi gereklidir. ve VM’nin diğer yapıları.”
Dahası, sanallaştırılmış Wslink kötü amaçlı yazılım paketi, önemsiz kod, sanal işlenenlerin kodlanması, sanal talimatların birleştirilmesi ve yuvalanmış bir sanal makinenin kullanımı dahil olmak üzere tersine mühendisliği engellemek için çeşitli taktikler cephaneliği ile birlikte gelir.
“Gizleme teknikleri, kodun anlaşılmasını zorlaştırmayı ve dolayısıyla amaçlarını gizlemeyi amaçlayan bir tür yazılım korumasıdır; karartıcı sanal makine teknikleri, hem analizi hem de algılamayı engelledikleri için kötü amaçlı yazılım örneklerinin karartılması gibi yasadışı amaçlar için yaygın olarak kötüye kullanılmaya başlandı.” dedim.
