Gootloader Zararlı Yazılımı: Yeni Yöntemler ve Tehditler
Gootloader zararlı yazılımı, siber saldırılar için başlangıç noktası olarak sıkça kullanılmaktadır ve son günlerde, tespit edilmekten kaçınmak için özel olarak tasarlanmış bozuk ZIP arşivleri kullanmaktadır. Bu durum, siber güvenlik uzmanları için önemli bir tehlike oluşturmakta ve saldırıların daha karmaşık hale gelmesine neden olmaktadır.
Saldırı Nasıl Çalışıyor?
Gootloader, 2020 yılından bu yana aktif olan bir zararlı yazılım yükleyicisidir ve çeşitli siber suç operasyonları, özellikle de fidye yazılımları ile ilişkilendirilmiştir. Saldırganlar, zararlı yazılım dosyasını tespit edilmesini zorlaştırmak için 500 ile 1,000 arşivi birleştirerek yeni bir bozuk ZIP arşivi oluşturuyor. Bu süreçte kullanılan teknikler şunlardır:
- ZIP arşivlerinin sonuna kadar okuma yapan ayrıştırıcılardan faydalanarak, arşivleri birleştirme.
- Çoğu aracın ayrıştırmasını bozmak için iki zorunlu baytı eksik bırakan kesilmiş bir Central Directory (EOCD) kullanma.
- Disk numarası alanlarını rastgele hale getirerek, araçların var olmayan çoklu disk arşivleri beklemesine neden olma.
- Yerel Dosya Başlıkları ve Merkez Dizini girişleri arasında metadata uyumsuzlukları yaratma.
- Her indirme için benzersiz ZIP ve JScript örnekleri üreterek statik tespiti zorlaştırma.
- ZIP’i XOR kodlaması ile taşınabilir bir nesne olarak gönderip, istemci tarafında çözerek gerekli boyuta ulaşma, bu sayede ağ bazlı tespiti önleme.
Etkilenen Sistemler
Gootloader, özellikle Windows işletim sistemlerinde etkili olmaktadır. Zararlı yazılım, Windows Script Host (WScript) kullanarak geçici bir dizinde aktive olmaktadır. İlk çalıştırmada ve her sistem başlangıcında, CScript ile başlatılan ikinci bir JScript dosyasını içeren kısayol dosyaları ekleyerek kalıcılığını sağlamaktadır.
Çözüm ve Korunma
Zararlı yazılımları tespit etmek ve sistemlerinizi korumak için aşağıdaki adımlar önerilmektedir:
- JScript dosyalarını açmak için varsayılan uygulamayı Notepad olarak değiştirin.
- JScript dosyalarına ihtiyaç yoksa, wscript.exe ve cscript.exe’nin indirilmiş içeriklerin çalıştırılmasını engelleyin.
Ayrıca, yükleyicilerin zararlı yazılımları tespit etmek için kullanılan YARA kurallarını incelemek faydalı olacaktır. Bu kurallar, ZIP başlık özelliklerinin belirli bir kombinasyonunu, tekrarlayan Yerel Dosya Başlıklarını ve EOCD kayıtlarını tespit ederek saldırıları önleyebilmenizi sağlar.
Sonuç olarak, sistemlerinizi güncel tutmak, zararlı yazılımlara karşı koruma sağlamak ve belirtildiği şekilde yapılandırmalar yapmak hayati öneme sahiptir. Gereksiz JScript dosyalarını kapatmak ve güvenlik yazılımlarının güncellenmesini sağlamak, saldırı yüzeyinizi büyük ölçüde küçültecektir.
