27 Nis 2023Hacker HaberleriKötü Amaçlı Yazılım Analizi / Siber Tehdit
Uzaktan Erişim Truva Atları (RAT’ler), ANY’de üçüncü lider pozisyonu aldı. Koşar 2023 1. Çeyrek raporu en yaygın kötü amaçlı yazılım türlerinde, kuruluşunuzun bu tehditle karşı karşıya kalma olasılığını oldukça yüksek kılar.
LimeRAT, en iyi bilinen RAT ailesi olmasa da, onu farklı kılan çok yönlülüğüdür. Geniş bir yelpazede kötü amaçlı faaliyetler gerçekleştirme yeteneğine sahip olan bu yazılım, yalnızca veri hırsızlığında değil, aynı zamanda DDoS bot ağları oluşturmada ve kripto madenciliğini kolaylaştırmada da başarılıdır. Kompakt ayak izi, uç nokta algılama sistemlerinden kaçmasına izin vererek onu sinsi bir düşman haline getirir. İlginç bir şekilde, LimeRAT, ANY.RUN’un 2023’ün 1. Çeyreğinde yüklemeler açısından üçüncü en popüler kötü amaçlı yazılım ailesi olarak sıraladığı njRAT ile benzerlikler paylaşıyor.
HERHANGİ BİR ÇALIŞTIR araştırmacılar yakın zamanda bir LimeRAT örneğinin derinlemesine analizini yaptılar ve yapılandırmasını başarıyla çıkardılar. Bu yazıda, bu analize kısa bir genel bakış sunacağız.
IPv4:
Etki alanları:
MITRE ATT&CK®
ANY.RUN, çok sayıda aile için kötü amaçlı yazılım yapılandırmalarını otomatik olarak ayıklayarak araştırmacıların saatlerce uğraşmasını sağlayan etkileşimli bir bulut kötü amaçlı yazılım sanal alanıdır.
Hizmet 7. yılını kutluyor ve tüm araştırmacıları, genellikle profesyonel planlar için ayrılmış, 5 Mayıs’a kadar tamamen ücretsiz olan gelişmiş analiz özelliklerini denemeye davet ediyor. Bu, yürütme ortamının Windows 8, 10 veya 11 ile yapılandırılmasını içerir.
ANY.RUN’un kötü amaçlı yazılım analizi iş akışınızı geliştirdiğini keşfederseniz, aynı zamanda bir sınırlı promosyon5 Mayıs’a kadar kullanılabilir: yıllık veya iki yıllık abonelik için kaydolduğunuzda 6 veya 12 aylık ücretsiz kullanım elde edinsırasıyla.
Makalenin özet halini burada paylaşacağız. Eksiksiz bir izlenecek yol ve genişletilmiş analiz için HERHANGİ BİRİ bölümüne gidin. Kullandıkları iş akışı hakkında daha fazla bilgi edinmek istiyorsanız RUN’un bloguna bakın.
İncelenmekte olan örnek .NET’te yazıldığından, araştırmacılar kodu incelemek için DnSpy’ı kullandılar. Gizleme tekniklerinin kullanıldığı hemen belli oldu:
Kodun daha yakından incelenmesi, kötü amaçlı yazılım yapılandırmasına benzeyen bir sınıf ortaya çıkardı. Bu sınıf içinde, hem base64 ile kodlanmış hem de şifrelenmiş bir dize içeren bir alan vardı.
Kod incelemesine devam eden ANY.RUN araştırmacıları, dizgenin şifresini çözmekten sorumlu bir işlevi saptadı. DnSpy’da “Okuma ölçütü” filtresini kullanarak, dizinin okunduğu yöntemleri izlediler, bu da toplam iki yönteme yol açtı. İlk yöntem sonuçsuz kaldı, ancak ikincisi ilginç görünüyordu:
Bu yöntemin şifre çözme işleminden sorumlu olduğu ortaya çıktı. Yakından inceleyerek, LimeRAT’ın yapılandırmasının şifresini çözdüğü süreci yeniden yapılandırmak mümkün oldu:
Dizenin şifresini çözmek, bir PasteBin notuna bir bağlantı ortaya çıkardı: https://pastebin[.]com/raw/sxNJt2ek. Bu notta, LimeRAT’ın Komuta ve Kontrol (C2) sunucusu vardı:
LimeRAT yapılandırma şifre çözme işlemimize ilişkin bu kısa genel bakışı anlayışlı bulduğunuzu umarız. Daha kapsamlı bir inceleme için şu adrese gidin: ANY.RUN’un blogundaki makalenin tamamı, adımlarla ilgili ek içerik almak ve CyberChef’i kullanarak şifre çözme sürecini kontrol etmek için.
Ayrıca, HERHANGİ BİRİNİ unutmayın. RUN şu anda aboneliklerde indirimler ve Windows 8, 10 ve 11 işletim sistemleri ile yürütme ortamlarını yapılandırma yeteneği dahil olmak üzere ücretsiz planlar için genişletilmiş bir özellik seti içeren sınırlı süreli fırsatlar sunuyor. Bu teklif 5 Mayıs’ta sona eriyor.
Bu, ANY.RUN’u test etmek ve iş akışınızı kolaylaştırıp kolaylaştırmadığını belirlemek veya rakipsiz bir fiyata abonelik sağlamak ve statik ve davranışsal analiz yoluyla önemli ölçüde zaman tasarrufunun avantajlarından yararlanmak için ideal bir fırsattır.
Bu teklif hakkında daha fazla bilgi edinmek için şu adresi ziyaret edin: ANY.RUN planları.