Yeni bir Zloader kampanyası, kötü amaçlı yazılım yüklerini dağıtmak ve 111 ülkeden binlerce kurbandan kullanıcı kimlik bilgilerini çalmak için Microsoft’un dijital imza doğrulamasından yararlanıyor.
MalSmoke olarak bilinen bir tehdit grubu tarafından düzenlenen kampanya, Kasım 2021’de başlamış gibi görünüyor ve bunu tespit eden Check Point araştırmacılarına göre, hala güçlü gidiyor.
Zloader (aka Terdot ve DELoader), ilk olarak 2015 yılında tespit edilen ve sızılmış sistemlerden hesap kimlik bilgilerini ve çeşitli hassas özel bilgileri çalabilen bir bankacılık kötü amaçlı yazılımıdır.
Daha yakın zamanlarda, Zloader, aşağıdakiler gibi fidye yazılımı yükleri de dahil olmak üzere virüslü cihazlara daha fazla yük bırakmak için kullanıldı. Ryuk ve egregor,
MalSmoke, bilgi çalan kötü amaçlı yazılımları dağıtmanın, spam posta ve kötü amaçlı reklam kullanmak yetişkin içerik cezbeder.
Atera uzaktan yönetim yazılımını kötüye kullanma
Check Point’teki araştırmacılar tarafından izlenen ve analiz edilen en son kampanyada, enfeksiyon, Atera’nın değiştirilmiş bir yükleyicisi olan bir “Java.msi” dosyasının teslim edilmesiyle başlar.
Atera, BT sektöründe yaygın olarak kullanılan meşru bir kurumsal uzaktan izleme ve yönetim yazılımıdır. Bu nedenle, yükleyici biraz değiştirilmiş olsa bile, AV araçlarının kurbanı uyarması olası değildir.
Tehdit aktörlerinin kurbanları kötü amaçlı dosyayı indirmeleri için nasıl kandırdıkları belli değil, ancak korsan yazılım kaynaklarında bulunan çatlaklar veya hedefli kimlik avı e-postaları aracılığıyla olabilir.
Yürütme üzerine, Atera bir aracı oluşturur ve uç noktayı tehdit aktörünün kontrolü altındaki bir e-posta adresine atar.
Saldırganlar daha sonra sisteme tam uzaktan erişim elde eder, bu da komut dosyalarını çalıştırmalarına ve dosyaları, özellikle de Zloader kötü amaçlı yazılım yüklerini yüklemelerine veya indirmelerine olanak tanır.
Atera’nın uzaktan izleme çözümü, düşmanların saldırıyı gerçekleştirmesi için fazlasıyla yeterli olan 30 günlük ücretsiz deneme süresiyle birlikte gelir.
Zloader’ı Bırakmak
Kötü amaçlı yükleyicide bulunan toplu komut dosyaları, yönetici ayrıcalıklarına sahip olduklarından emin olmak, Windows Defender’a klasör dışlamaları eklemek ve “cmd.exe” ve görev yöneticisi gibi araçları devre dışı bırakmak için bazı kullanıcı düzeyinde kontroller gerçekleştirir.
Ardından, aşağıdaki ek dosyalar %AppData% klasörüne indirilir:
- 9092.dll – ana yük, Zloader.
- adminpriv.exe – Programların yükseltilmiş ayrıcalıklarla çalıştırılmasını sağlayan Nsudo.exe.
- appContast.dll – 9092.dll ve new2.bat’ı çalıştırmak için kullanılır.
- yeniden başlatma.dll – ayrıca 9092.dll’yi çalıştırmak için kullanılır.
- new2.bat – “Yönetici Onay Modu”nu devre dışı bırakır ve bilgisayarı kapatır.
- auto.bat – önyükleme kalıcılığı için Başlangıç klasörüne yerleştirilir.
Zloader, “regsvr32.exe” ile yürütülür ve C2 sunucusuyla (lkjhgfgsdshja) iletişim kuran “msiexec.exe” işlemine enjekte edilir.[.]ile).
Son olarak, “new2.bat” betiği, tüm uygulamaların ayrıcalıklarını yönetici düzeyine ayarlamak için kayıt defterini düzenler. Bu değişikliğin etkili olması için yeniden başlatma gerekir, bu nedenle kötü amaçlı yazılım bu noktada virüslü sistemi yeniden başlatmaya zorlar.
Microsoft kod imzalama kontrolleri atlandı
Check Point analistleri doğruladı Zloader yükünü ve kayıt defteri düzenleme komut dosyasını yürüten appContast.dll’nin geçerli bir kod imzası taşıdığını, dolayısıyla işletim sisteminin esasen ona güvendiğini.
Analistler, değiştirilmiş DLL’yi orijinal olanla (Atera’nın) karşılaştırdılar ve sağlama toplamında ve imza boyutunda küçük değişiklikler buldular.
Bu ince değişiklikler, e-imzanın geçerliliğini iptal etmek için yeterli değildir, ancak aynı zamanda birisinin bir dosyanın imza bölümüne veri eklemesine izin verir.
Microsoft bu güvenlik açığını 2012’den beri biliyor (CVE-2020-1599, CVE-2013-3900, ve CVE-2012-0151) ve giderek daha katı dosya doğrulama politikaları yayınlayarak düzeltmeye çalıştı. Ancak, bazı nedenlerden dolayı bunlar varsayılan olarak devre dışı kalır.
Bu bölümde ayrıntılı olarak açıklandığı gibi daha katı politikaları etkinleştirerek bu sorunu kendiniz çözmeye ilişkin talimatları bulabilirsiniz. miras danışmanlığı.
Alternatif olarak, aşağıdaki satırları Not Defteri’ne yapıştırabilir, dosyayı .reg uzantılı olarak kaydedebilir ve çalıştırabilirsiniz.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESoftwareMicrosoftCryptographyWintrustConfig]
"EnableCertPaddingCheck"="1"
[HKEY_LOCAL_MACHINESoftwareWow6432NodeMicrosoftCryptographyWintrustConfig]
"EnableCertPaddingCheck"="1"
Öncelikle Kuzey Amerika’dan gelen kurbanları vurdu
2 Ocak 2021 itibariyle, en son Zloader kampanyası, 864’ü ABD merkezli IP adreslerine ve 305’i Kanada’dan olmak üzere 2.170 benzersiz sisteme bulaştı.
Kurbanların sayısı endişe verici derecede büyük görünmese de, bu saldırılar oldukça hedefli ve her kurbanda önemli hasara neden olabilir.
Enfeksiyon vektörü bilinmediğinden, bu tehdide karşı korunmanın en iyi yolu, politika sıkılaştırma önerilerini takip etmek ve proaktif tehdit tespiti için Check Point araştırmacıları tarafından sağlanan IoC’leri (uzlaşma göstergeleri) kullanmaktır.