Tehdit analistleri, Hive fidye yazılımı çetesi tarafından kullanılan, IPv4 adreslerini ve sonunda bir Kobalt Strike işaretini indirmeye yol açan bir dizi dönüştürmeyi içeren yeni bir şaşırtma tekniği keşfetti.
Kod gizleme, tehdit aktörlerinin kodlarının kötü niyetli doğasını insan gözden geçirenlerden veya güvenlik yazılımlarından gizlemelerine yardımcı olur, böylece algılamadan kurtulabilirler.
Şaşırtmayı başarmanın her biri kendi artıları ve eksileri olan sayısız yol vardır, ancak Hive fidye yazılımını içeren bir olay yanıtında keşfedilen yeni bir yol, rakiplerin hedeflerine ulaşmak için yeni, daha gizli yollar bulduğunu gösteriyor.
Sentinel Laboratuvarları analistler, “IPfuscation” olarak adlandırdıkları ve gerçek dünyadaki kötü amaçlı yazılım dağıtımında basit ama akıllı yöntemlerin ne kadar etkili olabileceğinin bir başka örneği olan yeni şaşırtma tekniği hakkında rapor veriyor.
IP’den kabuk koduna
Analistler, her biri Cobalt Strike sağlayan bir yük içeren 64-bit Windows yürütülebilir dosyalarını analiz ederken yeni tekniği keşfettiler.
Yükün kendisi, bir dizi ASCII IPv4 adresi biçimini alarak gizlenir, bu nedenle zararsız bir IP adresleri listesi gibi görünür.
Kötü amaçlı yazılım analizi bağlamında, liste sabit kodlanmış C2 iletişim bilgileriyle karıştırılabilir.
Dosya bir dönüştürme işlevine geçirildiğinde (ip2string.h) bu dizeyi ikiliye çevirdiğinde, bir kabuk kodu bloğu görünür.
Bu adım tamamlandıktan sonra, kötü amaçlı yazılım, kabuk kodunu doğrudan SYSCALL’ler aracılığıyla veya kullanıcı arabirimi dil numaralandırıcısında geri arama yoluyla yürütmeyi proxy yaparak yürütür (winnls.h), standart bir Kobalt Strike kademesi ile sonuçlanır.
İşte Sentinel Labs raporundan bir örnek:
İlk sabit kodlanmış IP biçimli dize, 0xE48348FC’nin (büyük endian) ikili gösterimine sahip ASCII dizesi “252.72.131.228”dir ve çevrilecek sonraki “IP”, ikili gösterimi olan “240.232.200.0”dır. 0xC8E8F0.
Bu “ikili gösterimlerin” dağıtılması, yaygın sızma testi çerçeveleri tarafından oluşturulan kabuk kodunun başlangıcını gösterir.
Analistler, IPv4 adresleri yerine IPv6, UUID’ler ve MAC adresleri kullanan ek IPfuscation varyantları keşfettiler ve bunların tümü yukarıda tanımladığımızla neredeyse aynı şekilde çalışıyor.
Bundan çıkarılacak sonuç, bugünlerde kötü niyetli yük tespiti için yalnızca statik imzalara güvenmenin yeterli olmadığıdır.
Araştırmacılar, şüpheli öğeleri birden fazla noktadan toplayan davranışsal algılama, yapay zeka destekli analiz ve bütünsel uç nokta güvenliğinin IPfuscation’ın kapağını kaldırma konusunda daha iyi bir şansa sahip olacağını söylüyor.