Kendisini Defender’in Dışlananlarına Ekleyerek Gizleyen Zararlı Yazılım Tespit Edildi

By_ Scremente

By_ Scremente

Uzman üye
8 Nis 2012
1,558
71

Geçtiğimiz hafta salı günü BitDefender’ın siber güvenlik araştırmacıları oldukça ilginç gizlenme tekniklerine sahip MosaicLoader adlı bir zararlı keşfetti.

BitDefender araştırmacıları 20 Temmuz 2021 tarihinde MosaicLoader adı verilen zararlı yazılım tespit etti. Söylenenlere göre bulaştığı sistemlerde kendisini Microsoft Defender‘ın istisnalar listesine ekleyerek Defender tarafından yürütülecek taramalara karşı görünmez hale getiriyordu.

TheHackerNews ile bulgularını paylaşan BitDefender araştırmacıları, bu yeni zararlının temelde diğer kötü amaçlı yazılımları sistemlere bulaştırmak amacıyla kullanılan bir “loader” olduğunu belirtti. Saldırganlar için siber suç pazarında oldukça kâr getirecek cinsten olan bu zararlı, “zararlı yazılım teslimatı” yapma tekniklerine sahip.

MosaicLoader crackli yazılımlar gibi davranarak sistemlere bulaşıyor ve C2 (komuta kontrol) sunucusuna bağlanarak listeye göre zararlı yazılımları etkilediği sistemlere indiriyor. Araştırmalara göre “loader” tarafından ilk olarak bir ZIP dosyası indiriliyor ve çıkartılıyor. Daha sonra ZIP içinden çıkartılan “appsetup.exe” adında bir başka yazılım çalıştırılıyor. Bu yazılım ise “prun.exe” adlı zararlı parçacığını çalıştırmak için kullanılıyor.

“prun.exe” ise çeşitli güvenlik mekanizmalarını atlatmak için kullanılan bir başka yapıyı indiriyor ve çalıştırıyor. Bu mekanizmanın çalışmasından sonra asıl kötü amaçlı kod sistemde aktif hale geliyor. MosaicLoader, bu şekilde tersine mühendislik çalışmalarından ve analizlerden rahatlıkla kaçabilmiş.

mosaicloader-sema.jpg



Ayrıca MosaicLoader’ın daha fazla kullanıcıya bulaşabilmesi için saldırganlar birtakım SEO tekniklerini izledi. Arama motorlarının üst kısımlarından reklam alanları alarak zararlı yazılımı içeren sahte sayfaları hedef kelimelerde yukarıda tutmayı başardılar.

Başarılı bir bulaşma sonrası MosaicLoader kendisini Windows Defender’ın aşağıdaki kayıt defteri konumlarında yer alan yerel dışlananlar listesine ekliyor. Böylece başlatılabilecek herhangi bir taramadan başarıyla kaçınıyor.

  • Dışlanan Klasörler ve Dosyalar – HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
  • Dosya Türü Bazında Dışlananlar – HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Extensions
  • Çalışan Process/Süreç Bazında Dışlananlar – HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes
mosaicloader-istatistik.jpg




MosaicLoader’in sisteme yüklediği “appsetup.exe” isimli yürütülebilir dosya, kalıcılığı sağlamak için oluşturulmuş. İkinci dosya olan “prun.exe” ise komuta kontrol sunucusunda yüklenmesi istenen bir başka zararlıları yüklemekle sorumlu. Parola ve çerez çalıcılar, miner’lar ve benzer zararlıları sisteme yüklemek için kullanılıyor.
Ayrıca “prun.exe” dosyası baytlara ayırma ve çeşitli anti-analiz tekniklerinin yanı sıra sadece zararlının çalışması için önemli olan parçaları yürütmek gibi yöntemleri de barındırıyor. MosaicLoader önümüzdeki zaman dilimi içerisinde siber suçluların çeşitli amaçlarla kullanacağı ellerindeki güçlü bir oyuncak olabilir.
MosaicLoader ve benzeri zararlılardan korunmak için yapmanız gereken ise korsan yazılımlardan uzak durmak. Zira saldırganların hedeflediği kitle yasa dışı içeriklerle ve korsan yazılımlarla haşir neşir olan kullanıcılar. Ayrıca nereden olursa olsun bir dosya indirdikten sonra mutlaka güvenlik yazılımınızla kontrol etmelisiniz.
 
T

'The Wolf

Kıdemli Üye
22 Nis 2021
4,043
2,565
Tanrı dağı
By_ Scremente' Alıntı:

Geçtiğimiz hafta salı günü BitDefender’ın siber güvenlik araştırmacıları oldukça ilginç gizlenme tekniklerine sahip MosaicLoader adlı bir zararlı keşfetti.

BitDefender araştırmacıları 20 Temmuz 2021 tarihinde MosaicLoader adı verilen zararlı yazılım tespit etti. Söylenenlere göre bulaştığı sistemlerde kendisini Microsoft Defender‘ın istisnalar listesine ekleyerek Defender tarafından yürütülecek taramalara karşı görünmez hale getiriyordu.

TheHackerNews ile bulgularını paylaşan BitDefender araştırmacıları, bu yeni zararlının temelde diğer kötü amaçlı yazılımları sistemlere bulaştırmak amacıyla kullanılan bir “loader” olduğunu belirtti. Saldırganlar için siber suç pazarında oldukça kâr getirecek cinsten olan bu zararlı, “zararlı yazılım teslimatı” yapma tekniklerine sahip.

MosaicLoader crackli yazılımlar gibi davranarak sistemlere bulaşıyor ve C2 (komuta kontrol) sunucusuna bağlanarak listeye göre zararlı yazılımları etkilediği sistemlere indiriyor. Araştırmalara göre “loader” tarafından ilk olarak bir ZIP dosyası indiriliyor ve çıkartılıyor. Daha sonra ZIP içinden çıkartılan “appsetup.exe” adında bir başka yazılım çalıştırılıyor. Bu yazılım ise “prun.exe” adlı zararlı parçacığını çalıştırmak için kullanılıyor.

“prun.exe” ise çeşitli güvenlik mekanizmalarını atlatmak için kullanılan bir başka yapıyı indiriyor ve çalıştırıyor. Bu mekanizmanın çalışmasından sonra asıl kötü amaçlı kod sistemde aktif hale geliyor. MosaicLoader, bu şekilde tersine mühendislik çalışmalarından ve analizlerden rahatlıkla kaçabilmiş.

mosaicloader-sema.jpg



Ayrıca MosaicLoader’ın daha fazla kullanıcıya bulaşabilmesi için saldırganlar birtakım SEO tekniklerini izledi. Arama motorlarının üst kısımlarından reklam alanları alarak zararlı yazılımı içeren sahte sayfaları hedef kelimelerde yukarıda tutmayı başardılar.

Başarılı bir bulaşma sonrası MosaicLoader kendisini Windows Defender’ın aşağıdaki kayıt defteri konumlarında yer alan yerel dışlananlar listesine ekliyor. Böylece başlatılabilecek herhangi bir taramadan başarıyla kaçınıyor.

  • Dışlanan Klasörler ve Dosyalar – HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
  • Dosya Türü Bazında Dışlananlar – HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Extensions
  • Çalışan Process/Süreç Bazında Dışlananlar – HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes
mosaicloader-istatistik.jpg




MosaicLoader’in sisteme yüklediği “appsetup.exe” isimli yürütülebilir dosya, kalıcılığı sağlamak için oluşturulmuş. İkinci dosya olan “prun.exe” ise komuta kontrol sunucusunda yüklenmesi istenen bir başka zararlıları yüklemekle sorumlu. Parola ve çerez çalıcılar, miner’lar ve benzer zararlıları sisteme yüklemek için kullanılıyor.
Ayrıca “prun.exe” dosyası baytlara ayırma ve çeşitli anti-analiz tekniklerinin yanı sıra sadece zararlının çalışması için önemli olan parçaları yürütmek gibi yöntemleri de barındırıyor. MosaicLoader önümüzdeki zaman dilimi içerisinde siber suçluların çeşitli amaçlarla kullanacağı ellerindeki güçlü bir oyuncak olabilir.
MosaicLoader ve benzeri zararlılardan korunmak için yapmanız gereken ise korsan yazılımlardan uzak durmak. Zira saldırganların hedeflediği kitle yasa dışı içeriklerle ve korsan yazılımlarla haşir neşir olan kullanıcılar. Ayrıca nereden olursa olsun bir dosya indirdikten sonra mutlaka güvenlik yazılımınızla kontrol etmelisiniz.
Genişletmek için tıkla ...
Ellerinize Sağlık Hocam.
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.