Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Yeni gizli DarkWatchman kötü amaçlı yazılımı Windows Kayıt Defteri’nde gizleniyor

Yeni gizli DarkWatchman kötü amaçlı yazılımı Windows Kayıt Defteri’nde gizleniyor

Yeraltı siber suçlarında ‘DarkWatchman’ adlı yeni bir kötü amaçlı yazılım ortaya çıktı ve bu, bir C# keylogger ile eşleştirilmiş hafif ve yüksek kapasiteli bir JavaScript RAT (Uzaktan Erişim Truva Atı)’dir.

Prevailion’daki araştırmacılar tarafından hazırlanan teknik bir rapora göre, roman RAT, çoğunlukla Rus örgütlerini hedef alan Rusça konuşan aktörler tarafından kullanılıyor.

DarkWatchman’ın varlığının ilk belirtileri, tehdit aktörünün kötü amaçlı ZIP ekleri olan kimlik avı e-postaları yoluyla kötü amaçlı yazılımı dağıtmaya başlamasıyla Kasım ayı başlarında ortaya çıktı.

DarkWatchman dağıtımında kullanılan kimlik avı e-postası örneği
DarkWatchman dağıtımında kullanılan kimlik avı e-postası örneği
Kaynak: Hakimiyet

Bu ZIP dosyası ekleri, bir metin belgesinin kimliğine bürünmek için bir simge kullanan bir yürütülebilir dosya içerir. Bu yürütülebilir dosya, RAT ve keylogger’ı yükleyecek, kendi kendine kurulan bir WinRAR arşividir.

İndirilen ek içerikleri
İndirilen ek içerikleri
Kaynak: Hakimiyet

Açılırsa, kullanıcıya “Bilinmeyen Biçim” yazan bir tuzak açılır mesaj gösterilir, ancak gerçekte yükler arka planda yüklenmiştir.

Gizli bir ‘dosyasız’ RAT

DarkWatchman, JavaScript RAT’ın boyutu yalnızca 32 kb olan ve derlenen yalnızca 8,5 kb alan kaplayan çok hafif bir kötü amaçlı yazılımdır.

Çok sayıda “karadan yaşayan” ikili dosyalar, komut dosyaları ve kitaplıklar kullanır ve modüller arasında veri aktarmak için gizli yöntemler içerir.

DarkWatchman’ın büyüleyici yönü, keylogger için Windows Kayıt Defteri dosyasız depolama mekanizmasını kullanmasıdır.

Keylogger’ı diskte depolamak yerine, kullanıcı Windows’ta her oturum açtığında DarkWatchman RAT’ı başlatmak için zamanlanmış bir görev oluşturulur.

Kalıcılık için zamanlanmış görev eklendi
Kalıcılık için zamanlanmış görev eklendi
Kaynak: Hakimiyet

DarkWatchmen başlatıldığında, keylogger’ı .NET CSC.exe komutunu kullanarak derleyen ve onu belleğe başlatan bir PowerShell betiği yürütür.

“Keylogger, kayıt defterinde Base64 ile kodlanmış bir PowerShell komutu olarak işlenen ve depolanan, gizlenmiş C# kaynak kodu olarak dağıtılır. RAT başlatıldığında, bu PowerShell betiğini çalıştırır ve bu da keylogger’ı (CSC kullanarak) derler ve yürütür,” diye açıkladı Prevailion araştırmacıları Matt Stafford ve Sherman Smith bildiri.

“Keylogger’ın kendisi C2 ile iletişim kurmaz veya diske yazmaz. Bunun yerine, keylog’unu arabellek olarak kullandığı bir kayıt defteri anahtarına yazar. Çalışması sırasında, RAT, kaydedilen tuş vuruşlarını bilgisayara aktarmadan önce bu arabelleği sıyırır ve temizler. C2 sunucusu.”

Keylogger'ı derleyen Base64 ile kodlanmış PowerShell
Keylogger’ı derleyen Base64 ile kodlanmış PowerShell
Kaynak: Hakimiyet

Bu nedenle, kayıt defteri yalnızca kodlanmış yürütülebilir kodu gizlemek için bir yer olarak değil, aynı zamanda çalınan verileri C2’ye aktarılana kadar tutmak için geçici bir konum olarak da kullanılır.

C2 iletişimi ve altyapısı açısından, DarkWatchman aktörleri, günlük 500’e kadar alan oluşturmak için 10 öğeden oluşan bir çekirdek listeyle DGA’yı (etki alanı oluşturma algoritmaları) kullanır.

Bu onlara mükemmel operasyonel esneklik sağlar ve aynı zamanda iletişim izleme ve analizini çok zorlaştırır.

DarkWatchman’ın işlevsel yetenekleri şunlardır:

  • EXE dosyalarını yürütün (çıktı döndürülerek veya döndürülmeden)
  • DLL dosyalarını yükle
  • Komut satırında komutları yürütün
  • WSH komutlarını yürütün
  • WMI aracılığıyla çeşitli komutları yürütün
  • PowerShell komutlarını yürütün
  • JavaScript’i değerlendirin
  • Dosyaları kurban makineden C2 sunucusuna yükleyin
  • RAT ve Keylogger’ı uzaktan durdurun ve kaldırın
  • C2 sunucu adresini veya eve çağrı zaman aşımını uzaktan güncelleyin
  • RAT ve Keylogger’ı uzaktan güncelleyin
  • RAT başlangıcında çalışacak bir otomatik başlatma JavaScript’i ayarlayın
  • C2 esnekliği için Etki Alanı Oluşturma Algoritması (DGA)
  • Kullanıcının yönetici izinleri varsa, vssadmin.exe’yi kullanarak gölge kopyaları siler.

Fidye yazılımı hipotezi

Prevailion, DarkWatchman’ın, daha az yetenekli bağlı kuruluşlarını güçlü ve gizli bir araçla güçlendirmesi gereken fidye yazılımı grupları tarafından/bunlar için uyarlanabileceğini teorileştirir.

Kötü amaçlı yazılım, ek yükleri uzaktan yükleyebilir, böylece daha sonraki fidye yazılımı dağıtımı için gizli bir birinci aşama bulaşma olarak kullanılabilir.

DarkWatchman, ilk dayanak noktasının ardından aktör tarafından kontrol edilen etki alanlarıyla iletişim kurabildiğinden, fidye yazılımı operatörü, fidye yazılımını devralıp dağıtabilir veya dosya sızmasını doğrudan halledebilir.

Bu yaklaşım, bağlı kuruluşun rolünü bir ağ sızıcısı rolüne indirgeyecek ve aynı zamanda RaaS operasyonlarını daha klinik ve verimli hale getirecektir.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.