Yeni bir kötü amaçlı yazılım kampanyasının, r77 adlı açık kaynaklı bir rootkit dağıtmak için sosyal mühendislik taktiklerini kullandığı gözlemlendi. OBSCURE#BAT, saldırının başlangıç noktası olan karmaşık bir Windows batch komut dosyasından adını alıyor. Bu komut dosyası, rootkit’in dağıtımıyla sonuçlanan çok aşamalı bir süreci etkinleştirmek için PowerShell komutlarını çalıştırıyor. Diğer yöntem ise kötü amaçlı yazılımı Tor Tarayıcı, VoIP yazılımları ve mesajlaşma istemcileri gibi meşru araçlar olarak tanıtmaktadır.
Kullanıcıların bu tuzaklı yazılıma nasıl çekildiği net olmasa da, bunun kötü amaçlı reklamcılık veya arama motoru optimizasyonu zehirlenmesi gibi denenmiş ve test edilmiş yaklaşımları içermesi bekleniyor. Hangi yöntem kullanılırsa kullanılsın, birinci aşama yükü, batch komut dosyasını içeren bir arşivdir. Bu komut dosyası daha sonra PowerShell komutlarını çalıştırarak ek komut dosyalarını bırakır, Windows Kayıt Defteri’ni değiştirir ve kalıcılık için zamanlanmış görevler oluşturur. «Kötü amaçlı yazılım, Windows Kayıt Defteri’nde karmaşıklaştırılmış komut dosyalarını depolar ve zamanlanmış görevler yoluyla yürütmeyi garanti eder, bu da onun arka planda gizlice çalışmasını sağlar,» dedi araştırmacılar.
Ayrıca, sistemi daha da entegre etmek için sahte bir sürücü kaydetmek için sistem kayıt defteri anahtarlarını değiştirir.
OBSCURE#BAT Kötü Amaçlı Yazılımı
NET yükü, tespitten kaçmak için bir dizi hile kullanır. Bu rootkit daha sonra bir hizmet olarak başlatılır. Ayrıca, ana bilgisayarda kalıcılık sağlamak ve dosyaları, işlemleri ve belirli bir desenle eşleşen kayıt defteri anahtarlarını gizlemek için r77 olarak adlandırılan kullanıcı modu rootkit teslim edilir. Kötü amaçlı yazılım ayrıca düzenli olarak panoya yapılan işlemleri ve komut geçmişini izler ve bunları gizli dosyalara kaydeder, büyük ihtimalle veri sızdırma amacıyla.
Karmaşık batch komut dosyasının ilk çalıştırılmasından, zamanlanmış görevler ve kayıt defterinde depolanan komut dosyalarının oluşturulmasına kadar, kötü amaçlı yazılım, yeniden başlatmalardan sonra bile kalıcılığı garanti eder. Winlogon.exe gibi kritik sistem süreçlerine enjekte ederek, tespiti daha da zorlaştırmak için süreç davranışını manipüle eder.
Diğer yazılarımıza buradan ulaşabilirsiniz.
Leave a Comment