Haberler

DarkWatchman İsimli Kötü Amaçlı Yazılım Windows Kayıt Defteri’nde Gizleniyor

Siber saldırganlar ‘DarkWatchman’ adlı yeni bir kötü amaçlı yazılım kullanmaya başladı. Bu kötü amaçlı yazılım, bir C# keylogger ile eşleştirilmiş yüksek kapasiteli bir JavaScript RAT (Uzaktan Erişim Truva Atı) olarak kullanılıyor.

Prevailion’daki araştırmacılar tarafından hazırlanan teknik bir rapora göre RAT, çoğunlukla Rus örgütlerini hedef alan ve Rusça konuşan aktörler tarafından kullanılıyor.

DarkWatchman’ın varlığının ilk işaretleri, tehdit aktörünün kötü amaçlı ZIP ekleri olan kimlik avı e-postaları yoluyla kötü amaçlı yazılımı dağıtmaya başlamasıyla birlikte Kasım ayı başlarında ortaya çıktı.

Sample of phishing email used in DarkWatchman distribution
DarkWatchman dağıtımında kullanılan kimlik avı e-postası örneği

Bu ZIP dosyası ekleri, bir metin belgesi gibi görünmek için simge kullanan bir yürütülebilir dosya içeriyor. Bu yürütülebilir dosya, RAT ve keylogger’ı yükleyecek olan, kendi kendine kurulan bir WinRAR arşividir.

Downloaded attachment contents
İndirilen ek içerikler

Bu dosyalar açıldığı takdirde, kullanıcıya “Bilinmeyen Biçim” yazan bir tuzak mesaj gösterilir, ancak gerçekte kötü amaçlı yazılım Gizli bir ‘dosyasız’ RATarka planda yüklenmiştir.

Gizli bir ‘dosyasız’ RAT

DarkWatchman, JavaScript RAT’ın boyutu yalnızca 32 kb olan ve derlendiği hali yalnızca 8,5 kb alan kaplayan çok hafif yüklü bir kötü amaçlı yazılımdır.

Buna ek olarak DarkWatchman’ın etkileyici yönü ise, keylogger için Windows Kayıt Defteri dosyasız depolama mekanizmasını kullanmasıdır.

Keylogger’ı diskte depolamak yerine, kullanıcı Windows’ta her oturum açtığında DarkWatchman RAT’ı başlatmak için zamanlanmış bir görev oluşturulur.

Scheduled task added for persistence
Kalıcı olmak için eklenmiş zamanlanmış görev

DarkWatchmen başlatıldığında, keylogger’ı .NET CSC.exe komutunu kullanarak derleyen ve onu belleğe başlatan bir PowerShell betiği yürütür.

Prevailion araştırmacıları Matt Stafford ve Sherman Smith ilgili kötü amaçlı yazılım hakkında bir rapor yayınladı. Söz konusu raporda şu ifadeler yer aldı: “Keylogger, kayıt defterinde Base64 ile kodlanmış bir PowerShell komutu olarak işlenen ve depolanan, gizlenmiş C# kaynak kodu olarak dağıtılır. RAT başlatıldığında, bu PowerShell betiğini çalıştırır ve bu da keylogger’ı (CSC kullanarak) derler ve yürütür.”

“Keylogger’ın kendisi C2 ile iletişim kurmaz veya diske yazılmaz. Bunun yerine, keylog’unu arabellek olarak kullandığı bir kayıt defteri anahtarına yazar. RAT, çalışma sırasında kaydedilen tuş vuruşlarını C2 sunucusuna iletmeden önce bu arabelleği sıyırır ve temizler.

Base64 encoded PowerShell that compiles the keylogger
Keylogger’ı derleyen Base64 ile kodlanmış PowerShell

Bu nedenle, kayıt defteri yalnızca kodlanmış yürütülebilir kodu gizlemek için bir yer olarak değil, aynı zamanda çalınan verileri C2’ye aktarılana kadar tutmak için geçici bir konum olarak da kullanılır.

C2 iletişimi ve altyapısı açısından DarkWatchman aktörleri, günlük 500’e kadar alan oluşturmak için 10 öğeden oluşan bir çekirdek listeyle DGA’yı (etki alanı oluşturma algoritmaları) kullanır.

Bu onlara mükemmel operasyonel esneklik sağlar ve aynı zamanda iletişim izleme ve analizini çok zorlaştırır.

DarkWatchman’ın işlevsel yetenekleri şunlardır:

  • EXE dosyalarını yürütmek
  • DLL dosyalarını yüklemek
  • Komut satırında komutları yürütmek
  • WSH komutlarını yürütmek
  • WMI aracılığıyla çeşitli komutları yürütmek
  • PowerShell komutlarını yürütmek
  • Dosyaları kurban makineden C2 sunucusuna yüklemek
  • RAT ve Keylogger’ı uzaktan durdurmak ve kaldırmak
  • C2 sunucu adresini uzaktan güncellemek
  • RAT ve Keylogger’ı uzaktan güncellemek
  • RAT’i otomatik olarak başlatacak bir JavaScript ayarlamak
  • C2 esnekliği için Etki Alanı Oluşturma Algoritması (DGA) uygulamak
  • Kullanıcının yönetici izinleri varsa, vssadmin.exe’yi kullanarak gölge kopyaları silmek.

Fidye Yazılıma dair bir analiz

Prevailion, DarkWatchman’ın, daha az yetenekli bağlı kuruluşlarını güçlü ve gizli bir araçla güçlendirmesi gereken fidye yazılımı grupları tarafından/bunlar için uyarlanabileceğini düşünüyor.

DarkWatchman, ilk dayanak noktasının ardından aktör tarafından kontrol edilen etki alanlarıyla iletişim kurabildiğinden, fidye yazılımı operatörü, fidye yazılımını devralıp dağıtabilir veya dosyaya sızmayı doğrudan gerçekleştirebilir.

Bu yaklaşım, bağlı kuruluşun rolünü bir ağ sızıcısı rolüne indirgeyecek ve aynı zamanda RaaS operasyonlarını daha verimli hale getirecektir.

Kaynak: bleepingcomputer.com

Diğer Haberler

ABD, Drone Üreticisi DJI’a Karşı Yaptırım Kararı Aldı
Western Digital Müşterilerini Uyardı
Log4j Kabusu Bitmiyor, Üçüncü Güncelleme Yayınlandı

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu