Araştırmacılar GuLoader Kötü Amaçlı Yazılımının En Son Anti-Analiz Tekniklerini Açıkladı
Tehdit avcıları, analizi daha zor hale getirmek için GuLoader adlı bir kötü amaçlı yazılım türü tarafından benimsenen en son hilelerin maskesini düşürdü.
Elastic Security Labs araştırmacısı Daniel Stepanic, bu hafta yayınlanan bir raporda, "GuLoader'ın temel işlevselliği son birkaç yılda büyük ölçüde değişmemiş olsa da, gizleme tekniklerindeki bu sürekli güncellemeler, GuLoader'ı analiz etmeyi zaman alıcı ve kaynak yoğun bir süreç haline getiriyor" dedi.
İlk olarak 2019'un sonlarında tespit edilen GuLoader (diğer adıyla CloudEyE), geleneksel güvenlik çözümlerinden kaçmak için bir dizi gelişmiş anti-analiz tekniği içerirken, bilgi hırsızları gibi çok çeşitli yükleri dağıtmak için kullanılan gelişmiş bir kabuk kodu tabanlı kötü amaçlı yazılım indiricisidir.
Son aylarda kötü amaçlı yazılıma yönelik sürekli bir açık kaynak raporlama akışı, arkasındaki tehdit aktörlerinin, uygulanan diğer özelliklerin yanı sıra mevcut veya yeni güvenlik özelliklerini atlama yeteneğini geliştirmeye devam ettiğini ortaya koydu.
GuLoader tipik olarak, kurbanların ZIP arşivleri taşıyan e-postalar veya bir Visual Basic Script (VBScript) dosyası içeren bağlantılar aracılığıyla kötü amaçlı yazılımı indirmeleri ve yüklemeleri için kandırıldığı kimlik avı kampanyaları yoluyla yayılır.
İsrailli siber güvenlik şirketi Check Point, Eylül 2023'te "GuLoader'ın artık Remcos ile aynı platformda yeni bir adla satıldığını ve dolaylı olarak yükünü antivirüsler tarafından tamamen tespit edilemez hale getiren bir şifreleyici olarak tanıtıldığını" açıkladı.
Kötü amaçlı yazılımdaki son değişikliklerden biri, ilk olarak Aralık 2022'de CrowdStrike tarafından açıklanan ve Vektörlü İstisna İşleme (VEH) özelliğine odaklanan bir anti-analiz tekniğinin geliştirilmesidir.
Mekanizmanın daha önce Mayıs 2023'te hem McAfee Labs hem de Check Point tarafından detaylandırıldığını ve birincisinin "GuLoader'ın VEH'yi esas olarak yürütme akışını gizlemek ve analizi yavaşlatmak için kullandığını" belirttiğini belirtmekte fayda var.
Check Point, yöntemin "kasıtlı olarak çok sayıda istisna atarak ve bunları kontrolü dinamik olarak hesaplanan bir adrese aktaran bir vektör istisna işleyicisinde işleyerek normal kod yürütme akışını kırmaktan ibarettir" dedi.
GuLoader, sürekli güncellemeler alan tek kötü amaçlı yazılım ailesinden çok uzaktır. Dikkate değer bir başka örnek, saldırganların kurban sistemlerini tamamen tehlikeye atmasını sağlayan bir uzaktan erişim truva atı (RAT) olan DarkGate'dir.
Yeraltı forumlarında RastaFarEye olarak bilinen bir aktör tarafından aylık 15.000 ABD doları ücret karşılığında hizmet olarak kötü amaçlı yazılım (MaaS) olarak satılan kötü amaçlı yazılım, ilk bulaşma vektörünü dağıtmak için bağlantılar içeren kimlik avı e-postaları kullanır: bir VBScript veya Microsoft Software Installer (MSI) dosyası.
DarkGate'in en son sürümünü (5.0.19) analiz eden Trellix, "DLL yandan yükleme ve gelişmiş kabuk kodları ve yükleyicileri kullanan yeni bir yürütme zinciri sunduğunu" söyledi. Ayrıca, RDP şifre hırsızlığı özelliğinin tamamen yeniden işlenmesiyle birlikte gelir.
Güvenlik araştırmacıları Ernesto Fernández Provecho, Pham Duy Phuc, Ciana Driscoll ve Vinoo Thomas, "Tehdit aktörü, hızlı değişiklikler yapmak ve böylece tespitlerden kaçınmak için tehdit raporlarını aktif olarak izliyor" dedi.
"Uyarlanabilirliği, yineleme hızı ve kaçınma yöntemlerinin derinliği, modern kötü amaçlı yazılım tehditlerinin karmaşıklığını kanıtlıyor."
Gelişme, Agent Tesla ve AsyncRAT gibi uzaktan erişim truva atlarının, antivirüs algılama önlemlerini atlamak amacıyla steganografi ve yaygın olmayan dosya türlerinden yararlanan yeni e-posta tabanlı enfeksiyon zincirleri kullanılarak yayıldığının gözlemlenmesiyle ortaya çıktı.
Ayrıca, HUMAN Satori Tehdit İstihbarat Ekibi'nin, RedLine hırsız kötü amaçlı yazılımını dağıtmak için ScrubCrypt (diğer adıyla BatCloak) adlı bir kötü amaçlı yazılım gizleme motorunun güncellenmiş bir sürümünün nasıl kullanıldığına ilişkin bir raporunu da takip ediyor.
Şirket, "Yeni ScrubCrypt yapısı, Nulled Forum, Cracked Forum ve Hack Forums dahil olmak üzere küçük bir avuç karanlık web pazarındaki tehdit aktörlerine satıldı" dedi.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı