Bilgisayar korsanlarının, antivirüs çözümlerini atlatmak ve hedeflenen uç noktaları tehlikeye atmak için PlugRAT uzaktan erişim Truva Atı’nı bir Microsoft hata ayıklayıcısı gibi gizlediği gözlemlendi.
Trend Micro’nun siber güvenlik uzmanları kısa bir süre önce, trojan’ı teslim etmek için x64dbg kullanan kimliği belirsiz bir tehdit aktörü tespit etti. x64dbg, geliştirici topluluğunda oldukça popüler olduğu iddia edilen açık kaynaklı bir hata ayıklama aracıdır. Genellikle çekirdek modu ve kullanıcı modu kodunu, kilitlenme dökümlerini veya CPU kayıtlarını incelemek için kullanılır.
Ancak burada, DLL yandan yükleme olarak bilinen bir saldırıda kullanılıyor.
Programın düzgün çalışması için belirli bir .DLL dosyasına ihtiyacı vardır. Aynı ada sahip birden çok DLL dosyası varsa, önce yürütme dosyasıyla aynı klasörde bulunanı çalıştırır ve bilgisayar korsanlarının bundan yararlandığı şey budur. Programla birlikte değiştirilmiş bir DLL dosyası sunarak, meşru yazılımın kötü amaçlı yazılımı tetiklemesini sağlarlar.
Araştırmacılar, bu durumda, yazılımın bazı güvenlik araçlarını “karıştırabilen” geçerli bir dijital imza taşıdığını açıkladı. Bu, tehdit aktörlerinin “radarın altından uçmasına”, kararlılığını sürdürmesine, ayrıcalıkları artırmasına ve dosya yürütme kısıtlamalarını atlamasına olanak tanır.
“Açık kaynaklı hata ayıklayıcı aracı x32dbg.exe kullanılarak kötü amaçlı yazılım saldırısının keşfi ve analizi [the 32-bit debugger for x64dbg] güvenlik önlemlerini aşmanın ve bir hedef sistemin kontrolünü ele geçirmenin etkili bir yolu olduğundan, DLL tarafı yüklemenin bugün hala tehdit aktörleri tarafından kullanıldığını gösteriyor.” rapor (yeni sekmede açılır) okur.
Rapor, “Saldırganlar, meşru uygulamalara duyulan temel güveni kötüye kullandığı için bu tekniği kullanmaya devam ediyor” diye devam ediyor. “Bu teknik, saldırganların kötü amaçlı yazılım dağıtması için geçerli olmaya devam edecek. (yeni sekmede açılır) ve sistemler ve uygulamalar dinamik kitaplıklara güvenmeye ve bunları yüklemeye devam ettiği sürece hassas bilgilere erişin.”
Bu tür tehditlere karşı korunmanın en iyi yolu, hangi programları çalıştırdığınızı bildiğinizden ve yürütülebilir dosyayı paylaşan kişiye güvendiğinizden emin olmaktır. Trend Micro yandan yüklemeli saldırıların, “meşru uygulamalara duyulan temel güvenden” yararlandıkları için önümüzdeki yıllarda geçerli bir saldırı vektörü olarak kalacağına inanıyor.
“Bu teknik, sistemler ve uygulamalar dinamik kitaplıklara güvenmeye ve yüklemeye devam ettiği sürece, saldırganların kötü amaçlı yazılım dağıtması ve hassas bilgilere erişim elde etmesi için geçerliliğini koruyacaktır.” sonucuna vardılar.
Aracılığıyla: Kayıt (yeni sekmede açılır)
