![Quasar RAT, Radarın Altında Uçmak İçin DLL Yan Yüklemesinden Yararlanıyor](https://kilalu.blog/news/2024-07-11-07:20/Quasar RAT, Radarın Altında Uçmak İçin DLL Yan Yüklemesinden Yararlanıyor.jpg)
23 Ekim 2023Haber odasıSiber saldırı / Kötü Amaçlı Yazılım
Olarak bilinen açık kaynaklı uzaktan erişim truva atı Kuasar RAT Radarın altından uçmak ve güvenliği ihlal edilmiş Windows ana bilgisayarlarından gizlice veri çekmek için DLL yandan yüklemesinden yararlanıldığı gözlemlendi.
Uptycs araştırmacıları Tejaswini Sandapolla ve Karthickkumar Kathiresan, “Bu teknik, bu dosyaların Windows ortamında komuta ettiği doğal güvenden yararlanıyor.” söz konusu Geçen hafta yayınlanan bir raporda, kötü amaçlı yazılımın saldırı zincirinin bir parçası olarak ctfmon.exe ve calc.exe’ye bağımlılığı ayrıntılarıyla anlatılıyor.
CinaRAT veya Yggdrasil adlarıyla da bilinen Quasar RAT, sistem bilgilerini, çalışan uygulamaların, dosyaların, tuş vuruşlarının, ekran görüntülerinin bir listesini toplama ve isteğe bağlı kabuk komutlarını yürütme kapasitesine sahip C# tabanlı bir uzaktan yönetim aracıdır.
DLL yandan yükleme bir popüler teknik tarafından benimsenen birçok tehdit aktörü zararsız bir yürütülebilir dosyanın aradığı bilinen bir adla sahte bir DLL dosyası yerleştirerek kendi yüklerini yürütmek için.
MITRE, “Düşmanlar muhtemelen meşru, güvenilir ve potansiyel olarak yükseltilmiş bir sistem veya yazılım süreci altında gerçekleştirdikleri eylemleri maskelemek için yandan yüklemeyi kullanıyor.” notlar saldırı yönteminin açıklamasında.
![Kuasar RAT Kuasar RAT](https://teknomers.com/wp-content/uploads/2023/10/1698577358_426_Quasar-RAT-Radarin-Altinda-Ucmak-Icin-DLL-Yan-Yuklemesinden-Yararlaniyor.jpg)
Uptycs tarafından belgelenen saldırının başlangıç noktası, üç dosya içeren bir ISO görüntü dosyasıdır: eBill-997358806.exe olarak yeniden adlandırılan ctfmon.exe adlı yasal bir ikili dosya, monitör.ini olarak yeniden adlandırılan bir MsCtfMonitor.dll dosyası ve kötü amaçlı bir dosya. MsCtfMonitor.dll.
Araştırmacılar, “‘eBill-997358806.exe’ ikili dosyası çalıştırıldığında, içinde kötü amaçlı kodun gizlendiği DLL yan yükleme tekniği yoluyla ‘MsCtfMonitor.dll’ (ad maskeli) başlıklı bir dosyanın yüklenmesini başlatır.” dedi. .
Gizli kod, içine enjekte edilen başka bir yürütülebilir “FileDownloader.exe” dosyasıdır. regasm.exeWindows Derleme Kayıt Aracı, bir sonraki aşamayı başlatmak için sahte Secure32.dll dosyasını DLL yan yükleme yoluyla tekrar yükleyen ve son Quasar RAT yükünü başlatan orijinal bir calc.exe dosyasıdır.
Truva atı, sistem bilgilerini göndermek için uzak bir sunucuyla bağlantılar kurar ve hatta uç noktaya uzaktan erişim için bir ters proxy ayarlar.
Tehdit aktörünün kimliği ve saldırıyı gerçekleştirmek için kullanılan tam ilk erişim vektörü belirsizdir, ancak kimlik avı e-postaları aracılığıyla yayılması muhtemeldir, bu da kullanıcıların şüpheli e-postalara, bağlantılara veya eklere karşı tetikte olmasını zorunlu kılmaktadır. .
Popular Articles
- 21 Jul Vatandaş e-devleti benimsedi
- 15 Jul İkinci Zam Olacak mı? Bakan Bilginden Asgari Ücret Açıklaması
- 18 Jul Tarot Falına Göre 3 Ağustos Perşembe Günü Senin İçin Nasıl Geçecek?
- 30 Jul İstanbulda sağanak etkili oldu
- 06 Jul Terzi çıraklığından cumhuriyet savcılığına bir şehidin hikayesi - Son Dakika Haberler
Latest Articles
- 30 Jun Twitter’ın yeni çift kontrol doğrulaması kayboldu, Elon Musk ‘onu öldürdüğünü’ söyledi
- 26 Jul Lady Gaga Twitterda Fortnite Ne? Dedi, Bomba Cevaplar Geldi
- 12 Jul Bilim İnsanları, Kara Maddeyi Tespit Edebilecek Bir Saat Geliştirdiler
- 14 Jul Samsung, Galaxy Note 7 satışlarını da durdurdu; kullanıcılardan cihazlarını kapatmalarını istedi
- 22 Jul Her istedikleri yapılan, kural tanımayan prens ve prenseslere ‘sınır’ nasıl koyulur
Other Articles
- 7 aylık bebek 66 saat sonra enkazdan sağ çıkarıldı
- Twitter, eklenen fotoğraf veya video tepkisi ve iOS’ta yeni bir besteci çubuğu ile retweetleri test ediyor
- Jennifer Lopez için binlerce TL ödeyen AK Partililer kim?
- Yıldırım Avrupayı uyardı: Sonsuza dek böyle sürmeyecek
- Razer, Mobil Oyuncular İçin Bu Nereden Aklınıza Geldi? Dedirten Parmak Kılıflarını Tanıttı