William Charles
0 
2868
68
Kötü amaçlı yazılım tüm şekil ve boyutlarda gelir. Ayrıca, kötü amaçlı yazılımların karmaşıklığı yıllar içinde önemli ölçüde artmıştır. Saldırganlar, kötü niyetli paketlerinin her yönünü tek bir yüke sığdırmaya çalışmanın her zaman en etkili yol olmadığını fark eder.
Zamanla, kötü amaçlı yazılım modüler hale geldi. Yani, bazı kötü amaçlı yazılım varyantları, hedef sistemi nasıl etkilediklerini değiştirmek için farklı modüller kullanabilir. Peki, modüler kötü amaçlı yazılım nedir ve nasıl çalışır??
Modüler Kötü Amaçlı Yazılım Nedir??
Modüler kötü amaçlı yazılım, bir sisteme farklı aşamalarda saldıran gelişmiş bir tehdittir. Ön kapıdan patlamak yerine, modüler kötü amaçlı yazılım daha hafif bir yaklaşım sergiliyor.
Bunu sadece ilk önce gerekli bileşenleri kurarak yapar. Daha sonra, bir hayran kitlesine neden olmak ve kullanıcıları varlığını uyarmak yerine, ilk modül sistemi ve ağ güvenliğini araştırıyor; Kim sorumlu, hangi korumaların uygulandığı, kötü amaçlı yazılımın güvenlik açıklarını bulabileceği, hangi istismarların en iyi başarı şansına sahip olduğu vb..
Yerel ortamı başarıyla tanıttıktan sonra, ilk aşama kötü amaçlı yazılım modülü, evini komut ve kontrol (C2) sunucusuna çevirebilir. C2 daha sonra kötü amaçlı yazılımın çalıştığı belirli ortamdan yararlanmak için ek kötü amaçlı yazılım modülleriyle birlikte daha fazla talimat geri gönderebilir.
Modüler kötü amaçlı yazılımın, tüm işlevselliğini tek bir yüke sığdıran kötü amaçlı yazılımlara kıyasla çeşitli avantajları vardır.
- Kötü amaçlı yazılım yazarı, antivirüs ve diğer güvenlik programlarından kaçınmak için kötü amaçlı yazılım imzasını hızla değiştirebilir.
- Modüler kötü amaçlı yazılım, çeşitli ortamlar için kapsamlı işlevsellik sağlar. Bu sayede, yazarlar belirli ortamlara ya da alternatif olarak, belirli ortamlarda kullanım için belirli modülleri işaretleyebilirler..
- İlk modüller küçük ve şaşırtmak için biraz daha kolay.
- Birden çok kötü amaçlı yazılım modülünü bir araya getirmek, güvenlik araştırmacılarının bir sonraki adımda ne olacağını tahmin ediyor.
Modüler kötü amaçlı yazılım ani bir tehdit değil. Kötü amaçlı yazılım geliştiricileri, modüler kötü amaçlı yazılım programlarını uzun süre verimli bir şekilde kullanmıştır. Aradaki fark, güvenlik araştırmacılarının daha geniş bir durumda daha modüler kötü amaçlı yazılımlarla karşı karşıya kalmasıdır. Araştırmacılar ayrıca, modüler kötü amaçlı yazılım yüklerini dağıtan devasa Necurs botnetini (Dridex ve Locky Ransomware türevlerini dağıtmak için rezil) tespit ettiler. (Zaten bir botnet nedir? Botnet Nedir ve Bilgisayarınız Bir Parçası mı? Botnet Nedir ve Bilgisayarınız Bir Parçası mı? Botnet'ler, kötü amaçlı yazılım, fidye, spam ve daha birçok kaynağa sahiptir. Bir botnet? Nasıl ortaya çıkıyorlar? Onları kim kontrol ediyor? Onları nasıl durdurabiliriz?)
Modüler Kötü Amaçlı Yazılım Örnekleri
Bazı çok ilginç modüler kötü amaçlı yazılım örnekleri var. İşte dikkat etmeniz gereken birkaç şey.
VPNFilter
VPNFilter, yönlendiricilere ve Nesnelerin İnterneti (IoT) cihazlarına saldıran yeni bir kötü amaçlı yazılım çeşididir. Kötü amaçlı yazılım üç aşamada çalışır.
İlk aşamadaki kötü amaçlı yazılım, ikinci aşama modülünü indirmek için bir komut ve kontrol sunucusuyla bağlantı kurar. İkinci aşama modülü veri toplar, komutları çalıştırır ve cihaz yönetimine müdahale edebilir ( “tuğla” bir yönlendirici, IoT veya NAS cihazı). İkinci aşama, ikinci aşama için eklentiler gibi çalışan üçüncü aşama modüllerini de indirebilir. Aşama üç modüller, SCADA trafiği için bir paket dinleyicisi, bir paket enjeksiyon modülü ve 2. aşama kötü amaçlı yazılımın Tor ağını kullanarak iletişim kurmasını sağlayan bir modül içerir.
VPNFilter, nereden geldiği ve burada nasıl tespit edileceği hakkında daha fazla bilgi edinebilirsiniz..
T9000
Palo Alto Networks güvenlik araştırmacıları T9000 kötü amaçlı yazılımını ortaya çıkardı (Terminator veya Skynet… ile ilişkisi yok mu, öyle mi ?!).
T9000 bir istihbarat ve veri toplama aracıdır. Kurulduktan sonra, T9000 bir saldırgana izin veriyor “şifreli verileri yakalayın, belirli uygulamaların ekran görüntülerini alın ve özellikle Skype kullanıcılarını hedefleyin,” Microsoft Office ürün dosyalarının yanı sıra. T9000, kurulum sürecini radar altında kalması için değiştirerek, 24 farklı güvenlik ürününden kaçınmak için tasarlanmış farklı modüllerle birlikte gelir.
DanaBot
DanaBot, yazarın işlevselliğini genişletmek için kullandığı farklı eklentilere sahip çok aşamalı bir bankacılık Trojan'ıdır. (Uzaktan erişim Truva atlarıyla hızlı ve etkili bir şekilde nasıl başa çıkılır. Uzaktan Erişim Truva Atlarıyla Nasıl Basit ve Etkili Bir Şekilde Nasıl Kullanılabilir Uzaktan Erişim Truva Atlarıyla Nasıl Basit ve Etkili Bir şekilde Başa Çıkabilir? Bu basit adımları izleyerek kolayca kurtulabilirsiniz.) Örneğin, Mayıs 2018'de DanaBot, Avustralya bankalarına yönelik bir dizi saldırıda görüldü. O sırada araştırmacılar bir paket koklama ve enjeksiyon eklentisi, bir VNC uzaktan görüntüleme eklentisi, bir veri toplama eklentisi ve güvenli iletişime olanak sağlayan bir Tor eklentisini ortaya çıkardılar.
“DanaBot bir bankacılık Trojan, yani bir dereceye kadar coğrafi hedefli olduğu anlamına gelir,” Proofpoint DanaBot blog girişini okuyor. “ABD kampanyasında gördüğümüz gibi, yüksek hacimli aktörler tarafından evlat edinmek, aktif gelişim, coğrafi genişleme ve kötü amaçlı yazılımlara karşı sürekli tehdit altındaki aktörlerin ilgisini göstermektedir. Kötü amaçlı yazılımın kendisi, bir dizi anti-analiz özelliğinin yanı sıra güncellenmiş hırsızlık ve uzaktan kumanda modüllerini içerir ve tehdit oyuncularına çekiciliğini ve faydasını daha da arttırır.”
Marap, AdvisorsBot ve CobInt
Proofpoint'teki müthiş güvenlik araştırmacılarının üçünü de keşfettikleri için üç modüler kötü amaçlı yazılım varyantını bir bölümde birleştiriyorum. Modüler kötü amaçlı yazılım değişkenleri benzerlik gösterir ancak farklı kullanımları vardır. Ayrıca, CobInt, uzun bir bankacılık ve finansal siber suç listesine bağlanan bir suç örgütü olan Kobalt Grubu için bir kampanyanın bir parçasını oluşturmaktadır..
Marap ve AdvisorsBot, savunma ve ağ haritalama için hedef sistemlerin belirlendiğini ve kötü amaçlı yazılımın yükün tamamını yükleyip yükleyemeyeceğini belirledi. Hedef sistem yeterli ilgi alanına sahipse (örneğin, değeri varsa), kötü amaçlı yazılım saldırının ikinci aşamasını çağırır..
Diğer modüler kötü amaçlı yazılım varyantları gibi, Marap, AdvisorsBot ve CobInt üç adımlı bir akış izler. İlk aşama, genellikle ilk istismarı taşıyan virüslü bir eki olan bir e-postadır. Eğer istismar gerçekleşirse, kötü amaçlı yazılım derhal ikinci aşamayı ister. İkinci aşamada, hedef sistemin güvenlik önlemlerini ve ağ ortamını değerlendiren keşif modülü bulunmaktadır. Kötü amaçlı yazılım her şeyin uygun olduğunu düşünüyorsa, üçüncü ve son modül ana yük de dahil olmak üzere indirilir..
Prova noktası analizleri:
- Marap
- AdvisorBot (ve PoshAdvisor)
- Cobin
Mayhem
Mayhem, biraz daha eski modüler bir kötü amaçlı yazılım çeşididir ve ilk olarak 2014 yılında tekrar ortaya çıkmaktadır. Yandex'deki güvenlik araştırmacıları tarafından bulunan kötü amaçlı yazılımlar Linux ve Unix web sunucularını hedef alıyor. Kötü niyetli bir PHP betiği aracılığıyla yüklenir.
Bir kere kurulduktan sonra, script kötü amaçlı yazılımın nihai kullanımını tanımlayan birçok eklentiyi çağırabilir..
Eklentiler arasında FTP, WordPress ve Joomla hesaplarını hedef alan kaba kuvvetli bir şifre kırıcı, diğer güvenlik açığı bulunan sunucuları aramak için bir web tarayıcısı ve Heartbleed OpenSLL güvenlik açığından yararlanan bir araç bulunmaktadır.
DiamondFox
Son modüler kötü amaçlı yazılım türümüz aynı zamanda en eksiksiz olanlardan biridir. Birkaç nedenden ötürü, aynı zamanda en endişelenenlerden biri..
Sebep bir: DiamondFox, çeşitli yeraltı forumlarında satılan modüler bir botnet. Potansiyel siber suçlular, çok çeşitli gelişmiş saldırı yeteneklerine erişmek için DiamondFox modüler botnet paketini satın alabilir. Araç düzenli olarak güncellenmektedir ve tüm iyi çevrimiçi hizmetler gibi, müşteri desteğini de kişiselleştirmiştir. (Hatta bir değişiklik günlüğü bile var!)
İkinci neden: DiamondFox modüler botnet bir dizi eklenti ile birlikte geliyor. Bunlar, akıllı ev uygulaması olarak kullanılmayacak olan bir gösterge panosu üzerinden açılır ve kapanır. Eklentiler, uyarlanmış casusluk araçlarını, kimlik bilgilerini çalma araçlarını, DDoS araçlarını, keylogger'ları, spam postaları ve hatta bir RAM sıyırıcısını içerir.
Uyarı: Aşağıdaki videoda hoşlanabileceğiniz veya hoşlanmayabileceğiniz bir müzik var.
Modüler Zararlı Yazılım Saldırısı Nasıl Durdurulur
Şu anda, belirli bir araç, belirli bir modüler kötü amaçlı yazılım değişkenine karşı koruma sağlamaz. Ayrıca, bazı modüler kötü amaçlı yazılım varyantlarının sınırlı coğrafi kapsamı vardır. Örneğin, Marap, AdvisorsBot ve CobInt, öncelikle Rusya ve BDT ülkelerinde bulunur..
Proofpoint araştırmacıları, mevcut coğrafi sınırlamalara rağmen, diğer suçluların modüler kötü amaçlı yazılım kullanarak bu tür bir suç örgütü gördüğü takdirde, diğerlerinin de kesinlikle uygun olacağını belirtti..
Modüler kötü amaçlı yazılımın sisteminize nasıl ulaştığı konusunda farkındalık önemlidir. Çoğu, genellikle kötü amaçlı bir VBA komut dosyası içeren bir Microsoft Office belgesi içeren virüslü e-posta eklerini kullanır. Saldırganlar bu yöntemi kullanır, çünkü virüslü e-postaları milyonlarca potansiyel hedefe göndermek kolaydır. Ayrıca, ilk istismar çok küçüktür ve bir Office dosyası olarak kolayca gizlenir.
Her zaman olduğu gibi, sisteminizi güncel tuttuğunuzdan ve Malwarebytes Premium'a yatırım yapmayı düşündüğünüzden emin olun 5 Malwarebytes Premium'a Yükseltme Sebepleri: Evet, Buna Değer 5 Malwarebytes Premium'a Yükseltme Sebepleri: Evet, Buna Değer Malwarebytes'in ücretsiz sürümü müthiş, premium sürümün birçok kullanışlı ve değerli özelliği var. !