Bir sosyal mühendislik kampanyası aracılığıyla yayılan JavaScript tabanlı yeni bir uzaktan erişim Truva Atı (RAT), keşif ve analizden kaçınmak için algılama-kaçınma yöntemlerinin bir parçası olarak sinsi “dosyasız” tekniklerin kullanıldığı gözlemlendi.
dublajlı karanlıkbekçi Prevailion’un Düşman Karşı İstihbarat Ekibinden (PACT) araştırmacılar tarafından, kötü amaçlı yazılım esnek bir etki alanı oluşturma algoritması kullanır (DGA) komuta ve kontrol (C2) altyapısını tanımlamak ve tüm depolama işlemleri için Windows Kayıt Defterini kullanmak, böylece kötü amaçlı yazılımdan koruma motorlarını atlamasına olanak sağlamak.
Araştırmacılar Matt Stafford ve Sherman Smith, RAT “dosyasız kalıcılık, sistem içi etkinlik ve kendi kendini güncelleme ve yeniden derleme gibi dinamik çalışma zamanı yetenekleri için yeni yöntemler kullanıyor” söz konusu, “dosyasız kötü amaçlı yazılım tekniklerinde bir evrimi temsil ediyor, çünkü kayıt defterini neredeyse tüm geçici ve kalıcı depolama için kullanıyor ve bu nedenle diske hiçbir şey yazmadığından, çoğu güvenlik aracının algılama eşiğinin altında veya çevresinde çalışmasına izin veriyor.”
Prevailion, 12 Kasım 2021’den itibaren bir dizi kötü amaçlı yazılım eserinin tespit edildiği hedeflenen kurbanlar arasında Rusya’da adı açıklanmayan kurumsal boyutta bir kuruluşun olduğunu söyledi. Arka kapı ve kalıcılık özellikleri göz önüne alındığında, PACT ekibi DarkWatchman’in ilk erişim olabileceğini değerlendirdi ve fidye yazılımı grupları tarafından kullanılmak üzere keşif aracı.
Bu yeni gelişmenin ilginç bir sonucu, fidye yazılımı operatörlerinin, genellikle dosya kilitleyen kötü amaçlı yazılımları bırakmaktan ve dosya hırsızlığını yönetmekten sorumlu olan bağlı kuruluşları işe alma ihtiyacını tamamen ortadan kaldırmasıdır. DarkWatchman’ın fidye yazılımı dağıtımları için bir başlangıç olarak kullanılması, fidye yazılımının çekirdek geliştiricilerine, fidye pazarlığının ötesinde operasyon üzerinde daha iyi bir gözetim sağlar.
Rus sevkiyat şirketi Pony Express tarafından teslim edilen bir sevkiyat için “Ücretsiz depolama süresi sona erme bildirimi” gibi görünen hedef odaklı kimlik avı e-postaları aracılığıyla dağıtılan DarkWatchman, daha fazla kötü amaçlı etkinlik için gizli bir ağ geçidi sağlar. E-postalar, Windows sistemine bulaşmak için gerekli yükü içeren bir ZIP arşivi biçimindeki sözde bir faturayla birlikte gelir.
Yeni RAT, hem dosyasız bir JavaScript RAT’ı hem de C# tabanlı bir keylogger’dır; ikincisi, algılanmayı önlemek için kayıt defterinde depolanır. Her iki bileşen de son derece hafiftir. Kötü amaçlı JavaScript kodu yaklaşık 32 kb alırken, keylogger 8.5 kb’de zar zor kaydolur.
“İkilinin kayıt defterinde kodlanmış metin olarak saklanması, DarkWatchman’in kalıcı olduğu ancak yürütülebilir dosyasının hiçbir zaman (kalıcı olarak) diske yazılmadığı anlamına gelir; ayrıca DarkWatchman operatörlerinin, her çalıştırıldığında kötü amaçlı yazılımı güncelleyebileceği (veya değiştirebileceği) anlamına gelir,” araştırmacılar söyledi.
DarkWatchman kurulduktan sonra isteğe bağlı ikili dosyaları çalıştırabilir, DLL dosyalarını yükleyebilir, JavaScript kodunu ve PowerShell komutlarını çalıştırabilir, dosyaları uzak bir sunucuya yükleyebilir, kendini güncelleyebilir ve hatta güvenliği ihlal edilmiş makineden RAT ve keylogger’ı kaldırabilir. JavaScript rutini ayrıca, her kullanıcı oturum açtığında kötü amaçlı yazılımı çalıştıran zamanlanmış bir görev oluşturarak kalıcılığı sağlamaktan da sorumludur.
Araştırmacılar, “Keylogger’ın kendisi C2 ile iletişim kurmuyor veya diske yazmıyor” dedi. “Bunun yerine, keylog’unu arabellek olarak kullandığı bir kayıt defteri anahtarına yazar. Çalışması sırasında, RAT, günlüğe kaydedilen tuş vuruşlarını C2 sunucusuna iletmeden önce bu arabelleği sıyırır ve temizler.”
DarkWatchman henüz bir bilgisayar korsanlığı grubuna atfedilmedi, ancak Prevailion, kötü amaçlı yazılımın Rusya’da bulunan kurbanları özel olarak hedef almasına ve kaynak kod örneklerinde tanımlanan yazım hataları ve yazım hatalarına dikkat çekmenin yanı sıra mürettebatı “yetenekli bir tehdit aktörü” olarak nitelendirdi. , operatörlerin anadili İngilizce olmama olasılığını artırıyor.
Araştırmacılar, “Görünüşe göre DarkWatchman’ın yazarları, Windows Kayıt Defteri’nin karmaşıklığını ve opaklığını tespit edip, güvenlik araçlarının ve analistlerin algılama eşiğinin altında veya çevresinde çalışmak için bundan yararlandı.” “Kayıt defteri değişiklikleri olağandır ve hangi değişikliklerin anormal veya normal işletim sistemi ve yazılım işlevlerinin kapsamı dışında olduğunu belirlemek zor olabilir.”
.
siber-2
