Deep#Door Python Arka Kapısı Windows'ta Algılanmayı Önlüyor Siber Güvenlik

Deep#Door Python Arka Kapısı Windows'ta Algılanmayı Önlüyor

Windows sistemlerini hedef alan, uzun vadeli gözetleme ve kimlik bilgileri hırsızlığı yapabilen gizli bir Python tabanlı arka kapı çerçevesi tespit ed...

Windows sistemlerini hedef alan, uzun vadeli gözetleme ve kimlik bilgileri hırsızlığı yapabilen gizli bir Python tabanlı arka kapı çerçevesi tespit edildi.

Securonix'in araştırmasına göre, Deep#Door olarak adlandırılan kötü amaçlı yazılım, geleneksel algılama yöntemlerini atlayarak kalıcı bir implant yerleştirmek için gizlenmiş bir toplu komut dosyası kullanıyor.

Verileri harici sunuculardan alan birçok yükleyiciden farklı olarak Deep#Door, kötü amaçlı Python kodunu doğrudan damlalık komut dosyasına yerleştirir.

Önemli Gelişmeler

Bu kendi kendine yeten yaklaşım, ağ göstergelerini azaltır ve kötü amaçlı yazılımın, yürütme sırasında hem bellekte hem de diskte yükünü yeniden yapılandırmasına olanak tanır.

Komut Dosyası Tabanlı Yükleyici Gizli Dağıtıma Olanak Sağlar

Uzmanların Görüşleri

Saldırı zincirinin merkezinde, yerleşik Python yükünü çıkarmadan önce Windows güvenlik özelliklerini devre dışı bırakan, oldukça karmaşık bir toplu iş dosyası bulunur. Komut dosyası, başlangıç ​​klasörü girişleri, kayıt defteri çalıştırma anahtarları ve zamanlanmış görevler de dahil olmak üzere birden çok mekanizma aracılığıyla kalıcılık sağlar.

Securonix araştırmacıları, bu yöntemin komut dosyası odaklı izinsiz giriş tekniklerine doğru daha geniş bir değişimi yansıttığını belirtti. Saldırganlar, PowerShell gibi yerel araçlara güvenerek kötü amaçlı etkinlikleri meşru sistem davranışıyla harmanlayabilir ve statik tespitten kaçınabilir.

Detaylar ve Etkileri

Yükleyici aynı zamanda kendine referanslı bir ayrıştırma tekniği kullanır ve gömülü veriyi çıkarmak için kendi içeriğini okur. Bu, ek indirme ihtiyacını ortadan kaldırır ve ağ izleme yoluyla tespit edilmesi daha zor olan dosyasız yürütme modellerini taklit eder.

Kötü amaçlı yazılımın temel özellikleri şunlardır:

Gelecekte Ne Bekleniyor?

Gömülü Python verisi çalışma zamanında yeniden oluşturuldu

Windows Yönetim Araçları (WMI) abonelikleri dahil çoklu kalıcılık yöntemleri

Sistem Güvenliği

Windows Defender ve günlük kaydı gibi güvenlik denetimleri devre dışı bırakıldı

Tünel Açma Altyapısı C2'yi Gizliyor

Teknik Analiz

Arka kapı konuşlandırıldıktan sonra, genel TCP tünel hizmeti aracılığıyla saldırganın altyapısıyla iletişim kurar. Bu, özel komuta ve kontrol (C2) sunucularına olan ihtiyacı ortadan kaldırır ve kötü amaçlı trafiğin meşru bağlantılarla harmanlanmasına olanak tanır.

İmplant, keylogging, ekran görüntüsü yakalama, mikrofon kaydı ve tarayıcı kimlik bilgileri toplama dahil olmak üzere çeşitli yetenekleri destekler. Ayrıca SSH anahtarlarını ve bulut kimlik doğrulama belirteçlerini çıkararak kurumsal ortamlar arasında yanal harekete olanak tanır.

Sonuç ve Değerlendirme

Arka kapı implantları hakkında daha fazlasını okuyun: Yeni EsnekFerret Kötü Amaçlı Yazılım Zinciri, Go Backdoor ile macOS'u Hedefliyor

Nasıl Önlem Alınmalı?

Kapsamlı anti-analiz özellikleri algılamayı daha da karmaşık hale getirir. Kötü amaçlı yazılım, etkinleştirilmeden önce sanal makineleri, hata ayıklama araçlarını ve korumalı alan ortamlarını kontrol eder. Ayrıca temel Windows telemetri sistemlerini yamalar ve adli görünürlüğü sınırlamak için olay günlüklerini temizler.

Securonix araştırmacıları, "Bu tasarım, ağ tabanlı tespit fırsatlarını önemli ölçüde azaltıyor ve kısıtlı ortamlara teslimatı kolaylaştırıyor" diye açıkladı.

Gelişmiş Kaçınma Teknikleriyle Kalıcı Erişim

Deep#Door, kaldırıldığında bileşenleri geri yükleyen katmanlı kalıcılık mekanizmaları ve izleme işlemleri yoluyla erişimi korur.

İsteğe bağlı WMI abonelikleri, geleneksel başlatma yöntemlerinin ötesinde ek bir gizli dayanak sağlar.

Kötü amaçlı yazılım, gözetimin ötesinde, sistem çökmeleri ve önyükleme kaydının üzerine yazma gibi yıkıcı yetenekler içerir. Bu özellikler, saldırganın hedeflerine bağlı olarak hem casusluk hem de bozma amacıyla kullanılabileceğini gösteriyor.

Bulgular, modüler, komut dosyası tabanlı çerçevelerin geleneksel ikili dosyaların yerini aldığı, tehdit aktörü ticaretinde sürekli bir evrimi yansıtıyor.

Deep#Door, bellek içi yürütmeyi, genel altyapıyı ve agresif savunma kaçırmayı birleştirerek, modern kötü amaçlı yazılımların güvenliği ihlal edilmiş sistemlerde minimum görünürlükle nasıl çalışabileceğini gösteriyor.

Paylaş: