Kötü amaçlı arka kapı Pikabot, bir yükleyici ve işlevlerin çoğunu uygulayan bir çekirdek bileşen ile modülerdir. Kötü amaçlı etkinliğin tespit edilmesini zorlaştıran bir dizi anti-analiz tekniği kullanılır.
Analiz, dağıtım modu, kampanyalar ve kötü amaçlı yazılım davranışı açısından Qakbot ile bir benzerlik buldu ve bunların aynı kötü amaçlı yazılım yazarları olup olmadığına dair hiçbir gösterge yok. Herhangi bir kabuk kodu, DLL veya yürütülebilir dosya enjekte eden bir komut ve kontrol sunucusundan komut alma yeteneğine sahiptir.
Kötü amaçlı işlevsellik
Yükleyicinin ilk bulaşmasından sonra, çekirdek modül, keyfi komutları yürütme ve gerçek yükü enjekte etme becerisini içeren kötü amaçlı işlevselliği uygular. Çekirdek modülün şifresini çözen bir kod enjektörü kullanır. Yürütmeyi geciktirmek için Windows API işlevi Beep, Windows API işlevi CheckRemoteDebuggerPresent veya sanal alanları algılamak için yanlış kitaplıkları yeniden yüklemek gibi bir dizi anti-analiz tekniği kullanırlar. Ayrıca bellek veya işlemci sayısı gibi sistem bilgileri sorgulanır. Ek olarak, kötü amaçlı yazılımın önemli dizelerini gizlemek için halka açık ADVobfuscator aracı kullanılır. Anti-analiz testleri başarısız olursa, Pikabot çalışmayı durduracaktır.
Çekirdek modülleri yeniden yüklerken, Pikabot şu şekilde ilerler: İlk olarak, kaynaklar alanında depolanan bir dizi png görüntüsü yüklenir. Bunların kodu bit düzeyinde bir XOR işlemiyle çözülür. Görüntülerin her biri, çekirdek modülün şifrelenmiş bir bölümünü içerir. AES (CBC modu) aracılığıyla kodun şifresini çözmek için 32 baytlık bir anahtar kullanılır ve şifrelenmiş verilerin ilk 16 baytı başlatma vektörü olarak kullanılır. Ana yükün şifresini çözdükten sonra Pikabot enjektörü, WerFault gibi bir veri yolu üzerinden bir süreç oluşturur ve çekirdek modülü enjekte eder.
yürütmede gecikme
Enjektöre benzer şekilde çekirdek modül, yürütmeyi geciktirmek için "uyku işlevi" gibi ek analiz karşıtı kontrollere de dayanır. Buna NtC API işlevi de dahildirontinue aktivasyon için bir zamanlayıcı ile. Bu testlere ek olarak virüs bulaşan sistemin dili de kayıt altına alınır. Aşağıdaki dillerden birinin keşfedilmesi durumunda daha fazla uygulama iptal edilir: Gürcüce, Kazakça, Özbekçe, Tacikçe, Rusça, Ukraynaca, Belarusça veya Slovence. BDT ülkelerindeki tehdit aktörleri arasında kovuşturmayı önlemek amacıyla bu tür bir yaklaşıma sıklıkla rastlanıyor. Yükleme işlemi tamamlandıktan sonra Pikabot, ele geçirilen ana bilgisayarı, toplanan sistem bilgilerini kullanarak komuta ve kontrol sunucusuna kaydeder. Diğer botnetlerde olduğu gibi benzersiz bir tanımlayıcı oluşturulur. Kayıt işlemi tamamlandığında Pikabot sunucuya yaptığı sorgularla faaliyetine başlar.
Daha fazlası Zscaler.com'da
Zscaler Hakkında Zscaler, müşterilerin daha çevik, verimli, esnek ve güvenli olabilmesi için dijital dönüşümü hızlandırır. Zscaler Zero Trust Exchange, insanları, cihazları ve uygulamaları her yerde güvenli bir şekilde bağlayarak binlerce müşteriyi siber saldırılardan ve veri kaybından korur. SSE tabanlı Zero Trust Exchange, dünya çapında 150'den fazla veri merkezine dağıtılan dünyanın en büyük hat içi bulut güvenlik platformudur.