Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Çinli bilgisayar korsanlarının ‘Storm Cloud’ özel macOS kötü amaçlı yazılımı ortaya çıktı


Mac os işletim sistemi

Araştırmacılar, ‘Storm Cloud’ olarak bilinen Çinli bir casusluk tehdidi aktörü tarafından kullanılan özel bir araç olduğuna inanılan GIMMICK adlı önceden bilinmeyen bir macOS kötü amaçlı yazılım çeşidi keşfettiler.

Kötü amaçlı yazılım, 2021 sonlarında siber casusluk kampanyasında güvenliği ihlal edilen macOS 11.6 (Big Sur) çalıştıran bir MacBook Pro’nun RAM’inden alan Volexity araştırmacıları tarafından keşfedildi.

Gelişmiş tehdit aktörleri tarafından kullanılan özel kötü amaçlı yazılımların açığa çıkması yaygın değildir. Bu gruplar, araçlarını gizli tutmak ve IoC tabanlı algılamadan kaçınmak için çok az iz bırakarak ve kötü amaçlı yazılımın kalıntılarını silerek çok dikkatli çalışır.

Bununla birlikte, bazen en gelişmiş siber suçlular bile hata yapar ve GIMMICK’te olduğu gibi güvenlik araştırmacıları tarafından incelenebilecek kötü amaçlı yazılımları geride bırakır.

GIMMICK kötü amaçlı yazılımının incelenmesi

GIMMICK, Objective C (macOS) veya .NET ve Delphi (Windows) ile yazılmış çok platformlu bir kötü amaçlı yazılımdır.

Tüm varyantlar aynı C2 mimarisini, dosya yollarını, davranış kalıplarını kullanır ve Google Drive hizmetlerini yoğun bir şekilde kötüye kullanır, bu nedenle kod farklılıklarına rağmen tek bir araç olarak izlenir.

GIMMICK ya doğrudan kullanıcı tarafından ya da sistemde bir arka plan programı olarak başlatılır ve kendisini genellikle hedef makinede yoğun olarak kullanılan bir uygulamayı taklit eden ‘PLIST’ adlı bir ikili dosya olarak kurar.

Ardından, kötü amaçlı yazılım birkaç veri kod çözme adımı gerçekleştirerek başlatılır ve sonunda sabit kodlanmış OAuth2 kimlik bilgilerini kullanarak Google Drive’da bir oturum oluşturur.

Google Drive kimlik bilgilerini içeren JSON Nesnesi
Google Drive kimlik bilgilerini içeren JSON Nesnesi
(seslilik)

Başlatmadan sonra GIMMICK, DriveManager, FileManager ve GCDTimerManager olmak üzere üç kötü amaçlı yazılım bileşeni yükler ve bunlardan ilki aşağıdaki eylemlerden sorumludur:

  • Google Drive ve proxy oturumlarını yönetin.
  • Google Drive dizin hiyerarşisinin yerel bir haritasını bellekte tutun.
  • Google Drive oturumunda görevleri senkronize etmek için kilitleri yönetin.
  • Google Drive oturumuna ve oturumundan indirme ve yükleme görevlerini gerçekleştirin.

Etkilenen her sistemin donanım UUID’si, kendisine karşılık gelen Google Drive dizini için bir tanımlayıcı olarak kullanılır.

FileManager, C2 bilgilerinin ve komut görevlerinin depolandığı yerel dizini yönetir ve GCDTimerManager, çeşitli GCD nesnelerinin yönetimini üstlenir.

GIMMICK'in karmaşık iş akışı
GIMMICK’in karmaşık iş akışı (seslilik)

AES şifreli olarak sisteme gelen GIMMICK tarafından desteklenen komutlar şunlardır:

  • Temel sistem bilgilerini iletin
  • Dosyayı C2’ye yükleyin
  • Dosyayı istemciye indirin
  • Bir kabuk komutu yürütün ve çıktıyı C2’ye yazın
  • İstemci Google Drive zamanlayıcı aralığını ayarla
  • İstemci bilgisi kalp atışı mesajı için istemci zamanlayıcı aralığını ayarlayın
  • İstemci çalışma süresi bilgilerinin üzerine yaz

“Kötü amaçlı yazılımın eşzamansız doğası gereği, komut yürütme aşamalı bir yaklaşım gerektirir. Bireysel adımlar eşzamansız olarak gerçekleşse de, her komut aynı şeyi takip eder.” Volexity’yi açıklar teknik raporunda

GIMMICK’i bu kadar sağlam ve aynı zamanda karmaşık yapan bu eşzamansız tasarımdır, bu nedenle onu yeni bir platforma, bu durumda macOS’a taşımak, Storm Cloud’un becerilerini ve kaynaklarını vurgulayan bir başarıdır.

Volexity, Storm Cloud’un kötü amaçlı yazılımı üçüncü taraf bir geliştiriciden satın alma ve özel olarak kullanma olasılığının göz ardı edilmemesi gerektiğini belirtiyor.

GIMMICK’e karşı koruyun

Apple ayrıca, XProtect ve MRT için yeni imzalarla desteklenen tüm macOS sürümlerine, 17 Mart 2022’den bu yana kötü amaçlı yazılımları engelleyebilecek ve kaldırabilecek yeni korumalar da sundu. Bu imzaları aldığınızdan emin olmak için aşağıdaki adımları izleyin: Apple’ın destek sayfası talimatları.

GIMMICK ve benzeri kötü amaçlı yazılımların macOS’unuzda bir dayanak oluşturmasını önlemek için, en son algılama imzalarını da getirecek olan, cihazınız için mevcut sistem güncellemelerini uygulayarak başlayın.

Ardından, XProtect ve MRT’nin etkinleştirildiğinden ve sistemde aktif olarak çalıştığından emin olun.

Gelişmiş önlemler, uç noktalarda arka plan programlarının başlatılmasını tespit etmek için ağ trafiği izleme araçlarının ve EDR çözümlerinin kullanılmasını içerir.

Volexity ayrıca GIMMICK’in uzlaşma göstergelerinin (IoC’ler) bir listesini yayınladı ve YARA kurallarısavunucuların kötü amaçlı yazılımı tespit etmesine ve durdurmasına yardımcı olabilir.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.