Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Hive fidye yazılımı, yükü gizlemek için yeni ‘IPfuscation’ hilesini kullanıyor


Hive fidye yazılımı, yükü gizlemek için yeni 'IPfuscation' hilesini kullanıyor

Tehdit analistleri, Hive fidye yazılımı çetesi tarafından kullanılan, IPv4 adreslerini ve sonunda bir Kobalt Strike işaretini indirmeye yol açan bir dizi dönüştürmeyi içeren yeni bir şaşırtma tekniği keşfetti.

Kod gizleme, tehdit aktörlerinin kodlarının kötü niyetli doğasını insan gözden geçirenlerden veya güvenlik yazılımlarından gizlemelerine yardımcı olur, böylece algılamadan kurtulabilirler.

Şaşırtmayı başarmanın her biri kendi artıları ve eksileri olan sayısız yol vardır, ancak Hive fidye yazılımını içeren bir olay yanıtında keşfedilen yeni bir yol, rakiplerin hedeflerine ulaşmak için yeni, daha gizli yollar bulduğunu gösteriyor.

Sentinel Laboratuvarları analistler, “IPfuscation” olarak adlandırdıkları ve gerçek dünyadaki kötü amaçlı yazılım dağıtımında basit ama akıllı yöntemlerin ne kadar etkili olabileceğinin bir başka örneği olan yeni şaşırtma tekniği hakkında rapor veriyor.

IP’den kabuk koduna

Analistler, her biri Cobalt Strike sağlayan bir yük içeren 64-bit Windows yürütülebilir dosyalarını analiz ederken yeni tekniği keşfettiler.

Yükün kendisi, bir dizi ASCII IPv4 adresi biçimini alarak gizlenir, bu nedenle zararsız bir IP adresleri listesi gibi görünür.

Kötü amaçlı yazılım analizi bağlamında, liste sabit kodlanmış C2 iletişim bilgileriyle karıştırılabilir.

Yükü bir araya getirecek IPv4 adreslerinin listesi
Yükü bir araya getirecek IPv4 adreslerinin listesi
(Sentinel Laboratuvarları)

Dosya bir dönüştürme işlevine geçirildiğinde (ip2string.h) bu dizeyi ikiliye çevirdiğinde, bir kabuk kodu bloğu görünür.

Bu adım tamamlandıktan sonra, kötü amaçlı yazılım, kabuk kodunu doğrudan SYSCALL’ler aracılığıyla veya kullanıcı arabirimi dil numaralandırıcısında geri arama yoluyla yürütmeyi proxy yaparak yürütür (winnls.h), standart bir Kobalt Strike kademesi ile sonuçlanır.

İşte Sentinel Labs raporundan bir örnek:

İlk sabit kodlanmış IP biçimli dize, 0xE48348FC’nin (büyük endian) ikili gösterimine sahip ASCII dizesi “252.72.131.228”dir ve çevrilecek sonraki “IP”, ikili gösterimi olan “240.232.200.0”dır. 0xC8E8F0.

Bu “ikili gösterimlerin” dağıtılması, yaygın sızma testi çerçeveleri tarafından oluşturulan kabuk kodunun başlangıcını gösterir.

İki IP adresinden elde edilen kabuk kodunun başlangıcı
İki IP adresinden elde edilen kabuk kodu
(Sentinel Laboratuvarları)

Analistler, IPv4 adresleri yerine IPv6, UUID’ler ve MAC adresleri kullanan ek IPfuscation varyantları keşfettiler ve bunların tümü yukarıda tanımladığımızla neredeyse aynı şekilde çalışıyor.

Bir Cobalt Strike sahneleyici oluşturan, gizlenmiş dizeler
Bir Cobalt Strike sahneleyici oluşturan, gizlenmiş dizeler
(Sentinel Laboratuvarları)

Bundan çıkarılacak sonuç, bugünlerde kötü niyetli yük tespiti için yalnızca statik imzalara güvenmenin yeterli olmadığıdır.

Araştırmacılar, şüpheli öğeleri birden fazla noktadan toplayan davranışsal algılama, yapay zeka destekli analiz ve bütünsel uç nokta güvenliğinin IPfuscation’ın kapağını kaldırma konusunda daha iyi bir şansa sahip olacağını söylüyor.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.