Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Kötü amaçlı yazılım DeepLoad Kötü Amaçlı Yazılımı

DeepLoad Kötü Amaçlı Yazılımı

Mezo'de Kötü amaçlı yazılım, Gelişmiş Sürekli Tehdit (APT)'de
Çevir:

Yeni tespit edilen bir saldırı kampanyası, enfeksiyonu başlatmak için ClickFix sosyal mühendislik tekniğini kullanıyor. Kurbanlar, uydurma bir sistem sorununu çözme bahanesiyle, kötü amaçlı PowerShell komutlarını Windows Çalıştır iletişim kutusuna yapıştırarak çalıştırmaya yönlendiriliyor. Bu ilk adımda, meşru bir Windows yardımcı programı olan mshta.exe kullanılarak gizlenmiş bir PowerShell tabanlı yükleyici alınıp çalıştırılıyor.

Kaçırmayı Amaçlayan Gizleme Teknikleri

PowerShell yükleyicisi, aşırı ve anlamsız değişken atamaları yoluyla gerçek amacını gizleyerek statik analizi önemli ölçüde zorlaştırır. Kanıtlar, bu gizleme katmanının oluşturulmasında yapay zeka araçlarının kullanılmış olabileceğini ve bunun da karmaşıklığını artırdığını göstermektedir. Bu yaklaşım, kötü amaçlı yazılımın operasyonel bütünlüğünü korurken geleneksel tespit mekanizmalarını atlatmasını sağlar.

Sistem Kamuflajı Aracılığıyla Gizlenme

DeepLoad, standart Windows işlemlerine sorunsuz bir şekilde entegre olacak şekilde özel olarak tasarlanmıştır. Zararlı yazılım, Windows kilit ekranını yönetmekten sorumlu meşru bir işlem olan LockAppHost.exe adlı bir yürütülebilir dosyanın içine gizlenmiştir. Varlığını daha da gizlemek için, kötü amaçlı yazılım PowerShell komut geçmişini devre dışı bırakır ve standart PowerShell komutlarına güvenmek yerine doğrudan yerel Windows çekirdek işlevlerini çağırır. Bu teknik, PowerShell etkinliğini izleyen izleme sistemlerinden kaçınmasını sağlar.

Dosyasız Teknikler ve Dinamik Yük Üretimi

Tespit edilme olasılığını en aza indirmek için DeepLoad, diskte tutarlı izler bırakmaktan kaçınır. PowerShell'in Add-Type özelliğini kullanarak dinamik olarak ikincil bir bileşen oluşturur ve C# kodunu kullanıcının Temp dizininde depolanan geçici bir DLL dosyasına derler. Her çalıştırma, benzersiz bir ada sahip bir dosya üretir ve bilinen imzalara dayanan dosya tabanlı tespit yöntemlerini etkili bir şekilde atlatır.

Gizli İnfaz için Gelişmiş Enjeksiyon

Önemli bir kaçınma stratejisi, eşzamansız prosedür çağrısı (APC) enjeksiyonunun kullanılmasıdır. Kötü amaçlı yazılım, askıya alınmış durumda meşru bir Windows işlemi başlatır, shellcode'u doğrudan belleğine enjekte eder ve yürütmeye devam eder. Bu yöntem, kötü amaçlı yükün güvenilir bir işlem içinde çalışmasını ve çözülmüş bir sürümün diske yazılmamasını sağlayarak adli incelemelerdeki izini önemli ölçüde azaltır.

Kalıcı Kimlik Bilgisi Hırsızlığı Mekanizmaları

DeepLoad, hassas kullanıcı verilerini çalıştırma anında anında çıkarmak üzere tasarlanmıştır. Özellikleri şunlardır:

  • Virüs bulaşmış sistemden doğrudan kaydedilmiş tarayıcı şifrelerini ele geçirme.
  • Giriş denemeleri sırasında kimlik bilgilerini gerçek zamanlı olarak yakalayan ve manuel olarak kaldırılmadığı sürece oturumlar arasında kalıcı olan kötü amaçlı bir tarayıcı eklentisi dağıtmak.

Çıkarılabilir Ortam Aracılığıyla Yanal Yayılım

Bu kötü amaçlı yazılım, çıkarılabilir depolama aygıtlarını istismar etmek üzere tasarlanmış yayılma tekniklerini içerir. USB sürücüleri veya benzeri ortamları algıladığında, meşru yükleyiciler gibi görünen kötü amaçlı kısayol dosyalarını kopyalar. Bu dosyalar, güvenilir görünmek üzere adlandırılır ve bu da kullanıcı etkileşimini ve daha fazla enfeksiyonu artırır.

WMI Kötüye Kullanımı Yoluyla Sessiz Yeniden Enfeksiyon

DeepLoad, Windows Yönetim Araçları (WMI) kullanarak kalıcılık sağlar. Üç günlük bir gecikmenin ardından yeniden enfeksiyonu tetikleyen olay abonelikleri oluşturur ve kullanıcı etkileşimi veya saldırgan müdahalesi gerektirmez. Bu teknik ayrıca, beklenen üst-alt süreç ilişkilerini bozarak geleneksel tespit modellerini de alt üst eder.

Stratejik Hedef: Tüm Saldırı Zincirini Kapsama

DeepLoad'un genel tasarımı, siber saldırı zincirinin tamamında eylemler gerçekleştirebilen çok işlevli bir kötü amaçlı yazılım çerçevesini göstermektedir. Operasyonel stratejisi şunlara odaklanmaktadır:

  • Disk tabanlı hatalardan kaçınarak tespit edilme olasılığını azaltmak.
  • Kötü amaçlı faaliyetleri meşru Windows süreçleriyle harmanlamak.
  • Etki alanını genişletmek için sistemler arasında hızla yayılıyor.

Ölçeklenebilir Bir Tehdit Çerçevesinin Göstergeleri

DeepLoad ile ilişkili altyapı ve modüler tasarım, paylaşımlı veya hizmet tabanlı bir dağıtım modelinin olasılığını düşündürmektedir. Özellikleri Kötü Amaçlı Yazılım Hizmeti (MaaS) teklifleriyle tutarlı olsa da, bu sınıflandırmayı kesin olarak doğrulamak için şu anda yeterli kanıt bulunmamaktadır.

trend

HTTP Hatası 401 Geçersiz Güvenlik Belirteci E-posta...

Kimlik avı, İstenmeyen e-posta
Beklenmedik ve acil işlem gerektiren e-postalar, siber suçluların şüphelenmeyen alıcıları manipüle etmek için kullandığı yaygın bir taktiktir. Acil teknik sorunlar veya hesap problemleri iddiasında bulunan mesajlar genellikle panik yaratmaya çalışarak kullanıcıların bilgileri doğrulamadan tepki vermesini amaçlar. Bu nedenle, alışılmadık veya endişe verici e-postalarla karşılaştığınızda tetikte...

En çok görüntülenen

Yükleniyor...