Giriş
Son dönemde siber güvenlik araştırmacıları, çok aşamalı bir kötü amaçlı yazılım kampanyası hakkında detaylar açıkladı. Bu kampanya, zararlı yazılımların dağıtımında yenilikçi ve karmaşık yöntemler kullandığı için dikkat çekmeyi başardı.
Saldırı Nasıl Çalışıyor?
Saldırı, VOID#GEIST adı verilen bir saldırı zinciriyle başlıyor. Obfuscate edilmiş bir batch script, ikinci bir batch script’i dağıtarak meşru bir gömülü Python çalışma zamanı kuruyor ve şifrelenmiş shellcode bloklarını bellek içinde çalıştırmak için kullanıyor. Bu aşamada kullanılan teknik, Early Bird Asynchronous Procedure Call (APC) injection olarak biliniyor.
Aşağıdaki aşamalarda, kötü amaçlı yazılım modüler bir yapıda çalışıyor ve yönetilen scriptleri kullanarak geçiş yapıyor:
- İlk olarak, batch script’i bir TryCloudflare alanından alarak dağıtılıyor.
- Kullanıcı, Google Chrome’da sahte bir PDF görüntüleyerek dikkatini dağıtıyor.
- PowerShell komutları kullanarak asıl batch script tekrar çalıştırılıyor.
Etkilenen Sistemler
Kötü amaçlı yazılım kampanyası, özellikle aşağıdaki hedefler üzerinde etkili oluyor:
- XWorm
- AsyncRAT
- Xeno RAT
Persiste Etme Mekanizması
Kötü amaçlı yazılım, sistem yeniden başlatıldığında çalışmaya devam etmek için kullanıcı başlangıç dizinine bir batch script yerleştiriyor. Bu sayede, kullanıcının girişiyle otomatik olarak çalışıyor ve daha az iz bırakarak gizli kalıyor.
Çözüm ve Korunma
Aşağıdaki adımlar, bu tür saldırılardan korunmanıza yardımcı olabilir:
- Sistem yazılımlarınızı düzenli olarak güncelleyin.
- Güvenlik yazılımlarınızı güncel tutun ve tarama yapın.
- Bilgisayarınıza gelen şüpheli e-postalardaki bağlantılara tıklamayın.
- Gereksiz ağ portlarını kapatın ve güvenlik duvarı ayarlarınızı gözden geçirin.
Sonuç
Bu tür karmaşık kötü amaçlı yazılımlara karşı en önemli savunma, güncellemeleri düzenli olarak yaparak ve kullanıcı eğitimine önem vererek bilinçli olmanızdır. Hızlı bir şekilde sistemlerinizi güncelleyerek ve potansiyel tehditlerinizi minimize ederek korunabilirsiniz.
