VOID#GEIST Kötü Amaçlı Yazılımı
Siber güvenlik araştırmacıları, şifrelenmiş uzaktan erişim truva atı (RAT) yüklerini dağıtmak için toplu iş komut dosyalarına dayanan karmaşık, çok aşamalı bir kötü amaçlı yazılım kampanyasını ortaya çıkardı. VOID#GEIST olarak tanımlanan kampanya, XWorm, AsyncRAT ve Xeno RAT dahil olmak üzere çeşitli RAT ailelerini kullanıyor.
Saldırı zinciri, tespit edilmekten kaçınmak için tasarlanmış bir dizi eylemi başlatan gizlenmiş bir toplu iş betiğini kullanır. Bu eylemler arasında ek bir toplu iş betiğinin başlatılması, meşru bir gömülü Python çalışma ortamının oluşturulması ve şifrelenmiş shellcode yüklerinin çözülmesi yer alır. Shellcode, Early Bird Asenkron Prosedür Çağrısı (APC) enjeksiyonu olarak bilinen bir teknik kullanılarak Windows işlemi explorer.exe'nin ayrı örneklerine enjekte edildikten sonra doğrudan bellekte yürütülür.
İçindekiler
Komut Dosyası Tabanlı Kötü Amaçlı Yazılım Dağıtımı: Modern Bir Tehdit Modeli
Modern tehdit aktörleri, geleneksel bağımsız çalıştırılabilir kötü amaçlı yazılımları giderek terk ederek, meşru kullanıcı davranışını taklit eden katmanlı, komut dosyası tabanlı dağıtım çerçevelerini tercih ediyor. Saldırganlar, geleneksel Taşınabilir Çalıştırılabilir (PE) ikili dosyaları dağıtmak yerine, çeşitli meşru teknolojileri ve komut dosyası ortamlarını birleştiren çok bileşenli işlem hatları oluşturuyor.
Bu çerçevelerde kullanılan tipik bileşenler şunlardır:
- Enfeksiyon dizisini düzenlemek için kullanılan toplu işlem komut dosyaları.
- Gizli zararlı yazılımların hazırlanmasını kolaylaştıran PowerShell komutları.
- Sistemler arası taşınabilirliği sağlayan, yerleşik ve yasal çalışma ortamları.
- Bellekte kalıcılığı ve kontrolü sağlamak için ham shellcode doğrudan bellekte yürütülür.
Dosyasız yürütme yaklaşımı, disk tabanlı tespit olasılıklarını önemli ölçüde azaltır. Her bir aşama, bağımsız olarak incelendiğinde nispeten zararsız görünür ve genellikle rutin yönetim faaliyetlerine benzer; bu da tehdit aktörlerinin, güvenlik uyarıları vermeden tehlikeye atılmış ortamlarda faaliyet göstermelerine olanak tanır.
Kimlik Avı ve Cloudflare Altyapısı Aracılığıyla İlk Erişim
Saldırının giriş noktası, kimlik avı e-postaları aracılığıyla gönderilen kötü amaçlı bir toplu işlem komut dosyasıyla başlar. Komut dosyası, TryCloudflare alan adında barındırılan altyapıdan alınır. Çalıştırıldıktan sonra, komut dosyası kasıtlı olarak ayrıcalık yükseltme girişimlerinden kaçınır ve bunun yerine yalnızca oturum açmış kullanıcının izin sınırları içinde çalışır.
Bu strateji, kötü amaçlı yazılımın rutin kullanıcı düzeyindeki işlemlere karışarak ilk tutunma noktasını oluşturmasına olanak tanır. Yüksek ayrıcalık gerektiren eylemlerden kaçınarak, saldırı güvenlik uyarılarını veya yönetimsel istemleri tetikleme olasılığını azaltır.
Görsel Dikkat Dağıtma ve Gizli İnfaz Teknikleri
Çalıştırıldıktan sonra, kötü amaçlı yazılımın ilk aşaması, kurbanın dikkatini dağıtmak için sahte bir belge başlatır. Google Chrome tam ekran modunda açılır ve PDF formatında sunulan bir finansal belge veya fatura görüntülenir. Kullanıcı belgeye odaklanırken, kötü amaçlı faaliyet arka planda devam eder.
Aynı anda, gizli yürütme parametreleriyle orijinal toplu iş dosyasını yeniden başlatmak için bir PowerShell komutu yürütülür. -WindowStyle Hidden parametresinin kullanımı, görünür bir konsol penceresinin oluşmasını engelleyerek kötü amaçlı faaliyetin kullanıcıdan gizli kalmasını sağlar.
Kullanıcı Düzeyinde Başlangıç Uygulaması Yoluyla Kalıcılık
Sistem yeniden başlatıldıktan sonra da varlığını sürdürmek için, kötü amaçlı yazılım Windows kullanıcısının Başlangıç dizinine yardımcı bir toplu iş dosyası yerleştirir. Bu konum, kurban sisteme her giriş yaptığında dosyanın otomatik olarak yürütülmesini sağlar.
Bu kalıcılık mekanizması kasıtlı olarak inceliklidir. Sistem kayıt defteri anahtarlarını değiştirmek, zamanlanmış görevler oluşturmak veya hizmetler yüklemek gibi daha müdahaleci teknikler kullanmak yerine, kötü amaçlı yazılım yalnızca standart kullanıcı düzeyindeki başlatma davranışına dayanır. Bu yaklaşım tamamen mevcut kullanıcının ayrıcalıkları bağlamında çalıştığı için, ayrıcalık yükseltme uyarılarını tetiklemekten kaçınır ve kayıt defteri izleme araçları tarafından tespit edilme olasılığını azaltır.
Veri Yükü Alma ve Şifre Çözme Çerçevesi
Bulaşma zincirinin bir sonraki aşamasında, kötü amaçlı yazılım, ZIP arşivlerinde paketlenmiş ek yük bileşenlerini almak için bir TryCloudflare alan adıyla iletişime geçer. Bu arşivler, son kötü amaçlı yazılım yüklerinin şifresini çözmek ve çalıştırmak için gerekli modülleri içerir.
İndirilen arşiv genellikle aşağıdaki bileşenleri içerir:
- runn.py – şifrelenmiş shellcode modüllerini çözüp belleğe enjekte etmekten sorumlu Python tabanlı bir yükleyici.
- new.bin – XWorm ile ilişkili şifrelenmiş shellcode yükü
- xn.bin – Xeno RAT'a karşılık gelen şifrelenmiş shellcode yükü
- pul.bin – AsyncRAT'a karşılık gelen şifrelenmiş shellcode yükü
- a.json, n.json ve p.json – Python yükleyicisinin çalışma zamanında shellcode yüklerini dinamik olarak şifresini çözmek için kullandığı temel dosyalar.
Bu modüler tasarım, saldırganların farklı zararlı yazılımları bağımsız olarak hazırlamalarına ve yalnızca gerektiğinde etkinleştirmelerine olanak tanır.
Taşınabilirlik ve Gizlilik için Gömülü Python Çalışma Ortamı
Arşiv çıkarıldıktan sonra, kötü amaçlı yazılım, doğrudan python.org'dan elde edilen meşru bir gömülü Python çalışma ortamını devreye sokar. Meşru bir yorumlayıcıyı gömmek, ele geçirilen sistemde zaten mevcut olabilecek herhangi bir Python kurulumuna olan bağımlılığı ortadan kaldırır.
Saldırgan açısından bakıldığında, bu adım çeşitli stratejik avantajlar sağlar. Kötü amaçlı yazılım, harici bağımlılıklara ihtiyaç duymadan şifre çözme ve zararlı yazılım yükleme yeteneğine sahip, kendi kendine yeten bir yürütme ortamı haline gelir. Bu, farklı sistemler arasında taşınabilirliği artırır, güvenilirliği geliştirir ve meşru yazılım bileşenlerini kullanarak operasyonel gizliliğe katkıda bulunur.
Bellekte Birden Çok RAT Yükünün Yürütülmesi
Ardından, gömülü Python çalışma ortamı, runn.py yükleyici betiğini çalıştırmak için kullanılır. Yükleyici, XWorm ile ilişkili shellcode'u şifresini çözer ve Early Bird APC enjeksiyonunu kullanarak explorer.exe'nin çalışan bir örneğine enjekte eder.
Xeno RAT'ı dağıtmak için, kötü amaçlı yazılım, Python'ı çağırmak ve gerekli bileşenleri çalıştırmak için kullanılan AppInstallerPythonRedirector.exe adlı meşru bir Microsoft ikili dosyasını kullanır. Aynı enjeksiyon tekniği daha sonra AsyncRAT'ı dağıtmak için yeniden kullanılır ve böylece tüm yüklerin geleneksel yürütülebilir dosyalar diskte bırakılmadan tamamen bellekte yürütülmesi sağlanır.
Komuta ve Kontrol İşaretleme ve Modüler Mimari
Saldırının son aşaması, saldırgan tarafından kontrol edilen ve TryCloudflare üzerinde barındırılan Komuta ve Kontrol (C2) altyapısına minimum düzeyde bir HTTP sinyali göndermeyi içerir. Bu sinyal, sistemin başarıyla ele geçirildiğini ve daha fazla talimat almaya hazır olduğunu doğrular.
Kampanyanın spesifik hedefleri bilinmemekle birlikte, enfeksiyon zinciri oldukça modüler bir mimari sergiliyor. Saldırganlar tek bir büyük kötü amaçlı yazılım yükü yaymak yerine, bileşenleri kademeli olarak birden fazla aşamada devreye sokuyorlar. Bu tasarım, operasyonel esnekliği ve dayanıklılığı artırıyor.
Tespit açısından bakıldığında, kampanya boyunca dikkat çekici bir davranışsal gösterge ortaya çıkıyor: kısa zaman aralıklarıyla explorer.exe'ye tekrarlanan işlem enjeksiyonu. Bu örüntü, saldırı yaşam döngüsünün farklı aşamalarındaki şüpheli faaliyetleri ilişkilendirmeye çalışan savunmacılar için güçlü bir sinyal görevi görebilir.
