TEARDROP Kötü Amaçlı Yazılım
TEARDROP, Solarwind'in Orion platformuna yönelik tedarik zinciri saldırısında kullanılan kötü amaçlı yazılım tehditlerinden biridir. Tehdit aktörü, operasyonun belirli hedeflerine ve virüs bulaşmış belirli hedefe uygun olarak bir dizi farklı tehdit aracı ortaya çıkardı. Daha önce hiç görülmemiş TEARDROP kötü amaçlı yazılımı, bir sonraki aşama yük olan Cobalt Strike Beacon Implant'ın (Sürüm 4) teslim edilmesiyle görevlendirilen ikinci aşama bir damlalık görevi gördü. Cobalt Strike'ın, sızma testlerinde kullanılmak üzere tasarlanmış meşru bir Uzaktan Erişim Aracı olduğu unutulmamalıdır. Bununla birlikte, çok çeşitli güçlü işlevleri onu birden fazla hacker grubunun cephaneliğinde popüler bir fikstür haline getirdi. Cobalt Strike, potansiyel bir tehdit aktörünün tehlikeye atılan sistem üzerinde neredeyse tam kontrol kurmasına izin verir. RAT (Uzaktan Erişim Aracı), keylogging rutinleri oluşturması, sistemde rastgele çekimler yapması, ek zararlı yükler sağlaması, dosya sistemini manipüle etmesi ve şifrelenmiş tüneller aracılığıyla uzak sunuculara seçme hassas verileri sızdırması için komut verilebilir.
TEARDROP Kötü Amaçlı Yazılım Yapısı
TEARDROP bırakıcısı, diske herhangi bir dosya yazmadan tamamen bellekte çalışan tehdit edici bir 64 bit dinamik bağlantı kitaplığıdır (DLL). Bir hizmet olarak çalışır, bir iş parçacığı oluşturur ve ' festive_computer.jpg ' adlı bir dosyanın ilk 64 baytını okur. Verilere hiçbir şey için ihtiyaç duyulmaz ve tehdit, ' festive_computer.jpg ' dosyası olmadan da işlemlerine devam edecektir. Bazı infosec araştırmacıları 'gracious_truth.jpg ' gibi başka sürümler tespit ettiğinden, dosyanın gerçek adı değişebilir.
TEARDROP kötü amaçlı yazılım için bir sonraki adım, HKU \ SOFTWARE \ Microsoft \ CTF varlığını kontrol etmek ve gömülü Cobalt Strike işaret yükünün özel bir XOR algoritması aracılığıyla kodunu çözmektir. Son olarak, damlalık, gömülü yükü belleğe özel bir PE benzeri format aracılığıyla yükler.
TEARDROP, Raindrop adlı aynı tedarik zinciri saldırısında gözlemlenen başka bir damlalık ailesiyle yakından ilgilidir. İki tehdidin aynı işlevleri vardır ve sanal olarak önemli örtüşmeler vardır ve bazı temel farklılıklar sergilerler. İki kötü amaçlı yazılım ailesi arasındaki en büyük ayırt edici faktör, Raindrop için farklı bir paketleyici kullanılmasıdır.
