Kaspersky uzmanları, hedeflenen yeni bir dosyasız kötü amaçlı yazılım kampanyasını ortaya çıkardı. Kötü amaçlı yazılımları depolamak için Windows Olay Günlüklerinin yenilikçi bir şekilde kullanılması ve saldırganlar tarafından kullanılan çeşitli teknikler ile karakterize edilir.
Go ile derlenenler de dahil olmak üzere, ticari sızma testi paketleri ve algılama önleyici sarmalayıcılar kullanılır. Kampanyanın bir parçası olarak birkaç yeni nesil Truva Atı da konuşlandırıldı.
Dosyasız kötü amaçlı yazılım saldırısının yeni yolları
Kaspersky uzmanları, benzersiz bir teknik kullanarak hedeflenen bir kötü amaçlı yazılım işlemi keşfetti: dosyasız kötü amaçlı yazılım, Windows olay günlüklerinde gizlenir. Sisteme ilk olarak kurban tarafından indirilen bir arşivden Dropper modülü aracılığıyla virüs bulaştı. Saldırgan, son aşamadaki Truva atlarını daha fazla gizlemek için çeşitli algılama önleyici sarmalayıcılar kullandı. Daha fazla algılamayı önlemek için, bazı modüller bir dijital sertifika ile imzalanmıştır.
Son aşamada, saldırganlar iki tür Truva atı kullandı. Bunlar sisteme daha fazla erişim sağlamak için kullanıldı. Kontrol sunucularından gelen komutlar iki şekilde iletildi: HTTP ağ iletişimi ve sözde kanallar aracılığıyla. Bazı truva atı sürümleri, C2'den onlarca komut içeren bir komut sistemi kullanmayı başardı.
Kabuk kodları Windows sisteminde gizlidir
Kampanya ayrıca SilentBreak ve CobaltStrike gibi ticari sızma testi araçlarını da içeriyordu. İyi bilinen teknikleri özelleştirilmiş şifre çözme programları ve sistemdeki kabuk kodlarını gizlemek için Windows Olay Günlüklerinin ilk gözlemlenen kullanımıyla birleştirdi.
"Dikkatimizi çeken yeni bir hedefli kötü amaçlı yazılım tekniği gözlemledik. Kaspersky Kıdemli Güvenlik Araştırmacısı Denis Legezo, "Saldırı için, aktör Windows olay günlüklerinden şifrelenmiş bir kabuk kodunu kaydetti ve ardından yürüttü" dedi. "Daha önce hiç görmediğimiz bir yaklaşım ve sizi hazırlıksız yakalayabilecek tehditlere karşı tetikte olmanın önemini gösteriyor. MITRE Matrix'in Artefaktları Gizle bölümündeki Defence Evasion bölümüne Event Logs tekniğini eklemeye değer olduğunu düşünüyoruz. Farklı ticari sızma testi paketlerinin kullanımı da yaygın değil.”
Kaspersky.com'da daha fazlası
Kaspersky Hakkında Kaspersky, 1997 yılında kurulmuş uluslararası bir siber güvenlik şirketidir. Kaspersky'nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya çapında işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumaya yönelik yenilikçi güvenlik çözümlerinin ve hizmetlerinin temelini oluşturur. Şirketin kapsamlı güvenlik portföyü, karmaşık ve gelişen siber tehditlere karşı savunma için lider uç nokta koruması ve bir dizi özel güvenlik çözümü ve hizmeti içerir. 400 milyondan fazla kullanıcı ve 250.000 kurumsal müşteri, Kaspersky teknolojileri tarafından korunmaktadır. www.kaspersky.com/ adresinde Kaspersky hakkında daha fazla bilgi