Yeni IOC listesi ile Kwampirs RAT kötü amaçlı yazılımlarına karşı güvenlik savunmasını artırın

ReversingLabs, kötü amaçlı yazılım kontrol yapısını anlamak için uzaktan erişim trojanından gelen saldırıların adli analizini yaptı.

ReversingLabs, yazılım şirketlerinin kuruluşlarını bu kötü amaçlı yazılımlara karşı savunmasına yardımcı olmak için Kwampirs uzaktan erişim trojanının (RAT) saldırılarının ipuçlarını analiz etti.

Kuruluşlar, yazılım geliştirme ortamlarını korumalı ve tedarikçilerinin güvenliğinin ihlal edilmediğinden emin olmalıdır.Kwampirs RAT'ın Ambalajından Çıkarılması: Tehdit avcılığından tehdit istihbaratına."

Güvenlik şirketi, Orangeworm grubunun gerçekleştirdiği saldırıyı destekleyen kötü amaçlı yazılım ağı altyapısını belgelemek için ağ yapılandırmasında kalan kırıntıları kullandı. Symantec ilk kez 2018'de hackerları ve seçtikleri silahı belirledi. Aynı yıl Symantec ayrıca Kwampirs malware birçok hastane sisteminde bulunduX-Ray ve MRI makineleri dahil ve hastalar onam formlarını doldurmak için kullandıkları cihazlarda.

FBI son zamanlarda uyardı Kwampir kullanan saldırılar şimdi ICS (Endüstriyel Kontrol Sistemleri) sektöründeki şirketleri, özellikle de enerji sektörünü hedeflemektedir.

GÖRMEK: Siber güvenlik: Taktik takalım (ücretsiz PDF)

FBI, özel sektör bildiriminde "Yazılım tedarik zinciri şirketlerinin, küresel enerji üretimi, iletimi ve dağıtımı için Endüstriyel Kontrol Sistemlerini destekleyen varlıklar da dahil olmak üzere kurbanın stratejik ortaklarına ve / veya müşterilerine erişim elde etmek için hedeflendiğine inanılıyor" Şubat ayı başında ZDNet tarafından bildirildiği üzere.

Tedarik zinciri yazılım sağlayıcılarına yönelik saldırılara ek olarak, FBI aynı kötü amaçlı yazılımın sağlık, enerji ve finans şirketlerine yönelik saldırılarda da kullanıldığını söyledi.

ReversingLabs, tehdit analizi bakış açısından, bu kötü amaçlı yazılımın en önemli bölümünün yapılandırması olduğunu, çünkü aslında bir uzaktan erişim trojanı olduğunu belirtiyor.

ReversingLabs herkese açık olarak başladı YARA kuralları ve Kwampirs için bu bilgileri Titanyum Platformu tarafından toplanan tüm örneklerle son 90 gün içinde eşleştirdi. İşte buldukları şey.

Saldırıyı anlama

ReversingLabs, numunelerden ağ yapılandırmalarını ayıklayan güvenilir bir kötü amaçlı yazılım yapılandırma ayrıştırıcısı yazmak için Kwampirs saldırılarından veri örnekleri topladı.

ReversingLabs tarafından toplanan Kwampirs örneklerinin her biri bir dizi 200 kontrol sunucusu URL'si ile birlikte geldi. Kötü amaçlı işlemler genellikle aynı kontrol sunucusu altyapısını paylaşan kampanyalarda gerçekleştirilir.

ReversingLabs özellikle komut ve kontrol (C2) URL'lerini arıyordu. Kötü amaçlı yazılımın etkin C2 sunucularını bulma biçimi nedeniyle bu URL'ler ilginçtir. Her örnek, Kwampirs'ın sıralı olarak erişmeye çalıştığı sabit bir 200 URL listesiyle birlikte gelir. C2 konumları etki alanı adları veya IP adresleri biçimindedir. Kötü amaçlı yazılım, C2 sunucusu olarak bulduğu ilk etkin URL'yi kullanır.

Kötü amaçlı yazılım yapılandırması, DLL dosyasını
sistemi, ayrıştırıcı ile kullanmak için bir paket açıcı oluşturulmalıdır. Bu paket açıcı yükleme bileşenini ayrıştırır ve DLL'i ayıklayarak ayrıştırıcının gerekli C2'yi toplamasına izin verir
bilgi.

Bu iki yöntemi kullanarak, ReversingLabs 1.586 URL tanımladı. Bu URL'leri analiz etmek, karma değerlerinin farklı olmasına rağmen, damlalıkların bazılarının aynı yükü kullandığını ortaya çıkardı. Dosyalar arasındaki tek fark, rasgele dosya adı üretimi için kullanılan 64 baytlık bir dizedir. ReversingLabs bunun "bulutta son zamanlarda görülen yeni damlalık örnekleri, eski DLL yüklerini kullansalar bile yeni derlendiği" anlamına gelir.

Kötü amaçlı yazılım tasarımını anlama

Kwampirs RAT analizinde bir sonraki adım, saldırının nasıl yapıldığını anlamak için veri örneklerini kampanyalarda gruplandırmaktı. Kötü amaçlı yazılım saldırıları genellikle dalgalanır ve aynı kontrol sunucusu yapısını kullanır. ReversingLabs, örnek veri dosyalarını iki meta veri parçası kullanarak gruplar halinde düzenleyebildi: zengin başlık bilgileri ve dosya derleme zaman damgası.

Zengin başlık meta verileri, derleme ve bağlama işlemleri hakkında bilgi içerir. Bu durumda, zengin başlık tüm örneklerin Visual Studio 2010 ile derlendiğini gösterdi. Zaman damgaları Mayıs 2015 ve sonrasındaki ilk görünümleriyle ilişkili değildi. Aslında, hepsi buluttaki görünümlerinden birkaç yıl önce derlenmiş gibi görünüyordu, bu muhtemelen örneklerin kasıtlı olarak yanlış zaman damgalarına sahip sanal bir makinede derlendiği anlamına geliyor.

Daha fazla analiz, kampanyaların çoğunun bir veya daha fazla kontrol alanıyla bağlantılı olduğunu doğruladı.

Güvenlik savunmasını geliştirme

ReversingLabs uzlaşma göstergelerinin bir listesini oluşturdu (IOC) bu Kwampirs RAT analizine dayanmaktadır. Şirketler bu IOC'leri yeni engelleme güvenlik duvarı ve izinsiz giriş algılama kuralları oluşturmak ve SIEM günlüklerinde virüslü uç noktaları aramak için kullanabilirler.

Kwampirs hakkında bir 2018 raporundaSymantec, kurban ağında bir kez Kwampirs'in kendisini ağ paylaşımları üzerinden kopyalayarak yaydığını belirtti. Symantec, bu taktiğin en iyi sağlık endüstrisi gibi Windows XP gibi eski işletim sistemlerini çalıştıran ortamlarda çalıştığını tahmin ediyor.

Ayrıca bakınız

<a href = "https://tr3.cbsistatic.com/hub/i/r/2016/07/28/1471dc02-f9cc-4e85-b5bd-f3cbac97af83/resize/770x/f40d5a1cebff9ccb6c66c7af78416b33/malware-skull.jpg" hedef " = "_ boş" data-component = "modalEnlargeImage" data-headline = "

"data-credit =" iStock / Jirsak "rel =" noopener noreferrer nofollow ">malware-skull.jpg "veri-orijinal =" https://tr3.cbsistatic.com/hub/i/r/2016/07/28/1471dc02-f9cc-4e85-b5bd-f3cbac97af83/resize/770x/f40d5a1cebff9ccb6c66c7af78416b33/malware -skull.jpg

iStock / Jirsak

Source link

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*