DirtyMoe Malware

Birkaç farklı kripto para birimi tarafından yapılan daha da etkileyici değer kazanımlarının teşvik ettiği popülaritedeki meteorik artış, daha önce niş sektörü doğrudan halkın ilgi odağı haline getirdi. Tehdit aktörleri de bu eğilimi fark etti ve operasyonlarını hızla kötüye kullanmaya doğru kaydırdı. Çok sayıda botnet ve kötü amaçlı yazılım aracı oluşturuldu veya kripto madenciliği yetenekleriyle donatıldı. Tehdit aktörleri daha sonra güvenliği ihlal edilmiş binlerce sistemin kaynaklarını ele geçirebilir ve bunları belirli bir kripto para biriminin madeni paralarını çıkarmak için kullanabilir. Bu türdeki en yeni ve en gelişmiş kötü amaçlı yazılım araçlarından biri DirtyMoe kötü amaçlı yazılımıdır. Şimdiye kadar tehdit Rusya'daki hedeflere karşı kullanıldı, ancak Avrupa ve Asya ülkelerinde de kurbanlar tespit edildi. Infosec araştırmacılarına göre, şu anda DirtyMoe bulaşmış yüz bine yakın makine aktif durumda.

DirtyMoe'nun ilk sürümleri, NuggetPhantom adı altında bilgi güvenliği araştırmacıları tarafından izlendi ve genellikle kararsızdı ve siber güvenlik ürünleri tarafından kolayca yakalandılar. Ancak o zamandan beri, kötü amaçlı yazılım önemli bir evrim geçirdi ve şimdi birden fazla tespit önleme ve analiz önleme tekniği sergileyen, anlaşılması zor, modüler bir tehdit.

DirtyMoe'nun saldırı zinciri, bilgisayar korsanlarının çeşitli istismarlara karşı savunmasız kurbanları aramasıyla başlar. Bunlardan biri, 2017'de ortaya çıkan kötü şöhretli EternalBlue (CVE-2017-0144) güvenlik açığıdır, ancak görünüşe göre, tehdit aktörlerinin zararlı operasyonlarında bunu kötüye kullanmaya devam etmesini sağlayacak kadar güvenli olmayan sistem kaldı. DirtyMoe tarafından tercih edilen bir başka istismar da, Internet Explorer'da bulunan Komut Dosyası Motoru Bellek Bozulması Güvenlik Açığı'dır (CVE-2020-0674). Mağdurlar, güvenli olmayan URL'ler içeren kimlik avı e-postaları yoluyla cezbedilir.

Modüler Yapı

DirtyMoe kötü amaçlı yazılımının temel özelliği modülerliğidir. Ana bileşen DirtyMoe Core'dur. DirtyMoe tehdidini indirmek, güncellemek, şifrelemek, yedek oluşturmak ve korumaktan sorumludur. Çekirdek ayrıca, adından da anlaşılacağı gibi, onu yürütecek olan DirtyMoe Executioner'a bozuk bir kod beslemekle görevlendirilir. Enjekte edilen kod, MOE Nesnesi veya Modülü olarak adlandırılır ve işlemin Komuta ve Kontrol sunucusundan alınır.

Kötü amaçlı yazılım tehdidinin belirli davranışı, tehdit aktörlerinin hedeflerine uyacak şekilde ayrıca ayarlanabilir. Siber suçlular, DirtyMoe'ya istenen işlevselliği taşıyan şifreli bir yükü indirmesini ve ardından bunu kendisine enjekte etmesini emredebilir. Birkaç saat içinde binlerce DirtyMoe örneği bu şekilde değiştirilebilir. Gerçekten de DirtyMoe, DDoS saldırıları başlatmak, kripto madenciliği faaliyetleri gerçekleştirmek veya veri toplayıcılar, fidye yazılımları, Truva atları ve daha fazlası gibi ek tehdit edici yükler sağlamak için kullanılabilir.

Güçlü Gizleme ve Kendini Savunma Yetenekleri

DirtyMoe, ana tehdit edici çekirdeğini korumak için VMProtect'i kullanır. Ayrıca hizmet, Kayıt defteri girişi ve sürücü gizleme gibi genellikle rootkit'lerde bulunan çeşitli işlevleri sergileyen bir Windows sürücüsü kullanır. Sürücüye ayrıca, virüslü makinenin sistem birimindeki belirli dosyaları gizlemesi veya yeni oluşturulan işlemlere rastgele DLL'ler eklemesi talimatı verilebilir. Ağ iletişimi de güçlü bir teknikle sağlanır. Tehdit, sabit kodlanmış bir etki alanına DNS isteği yapmak için kullandığı bir dizi sabit kodlanmış DNS sunucusu taşır. Ancak, son IP adresi ve bağlantı noktası için DirtyMoe, farklı bir DNS istekleri dizisi kullanır. Sonuç olarak, DirtyMoe, nihai IP'sinin engellenmesine karşı dirençli hale gelir. Ayrıca Google, Cloudflare ve benzeri hizmetler gibi DNS sunucularına yapılan DNS isteklerini engellemek de pratik olarak gerçekçi değildir.