BilgisayarDunyasi

LokiBot Virüsü..! Şimdi Resimlerde Gizli

  • 8

Steganografi adı verilen bir teknik olan resimlerdeki kötü amaçlı yazılımları gizlemenin, kullanıcıları kötü amaçlı yazılımlarla dağıtmanın ve bulaştırmanın etkili bir yolu olduğunu çoğu kişi biliyor. Steganografi, tespiti önlemek için sıradan, gizli olmayan bir dosya veya mesaj içindeki gizli verileri gizleme tekniği olarak tanımlanabilir. Gizli veriler daha sonra çıkartılır ve hedef varış noktasına gönderilir. Bu teknik genellikle, bir resmin gizli metni içine kötü amaçlı yazılım ekleyerek, .jpg veya diğer biçimlerde, kötü amaçlı yazılım algılanmasını önlemek için genellikle şifrelenir. Tekniğin kullanımı devlet destekli aktörler tarafından yaygınlaştırıldığından, bilgisayar korsanları o zamandan bu yana hedeflerini ilerletmek için tekniği benimsemişlerdir. 

Şimdi bir makaleye göreGüvenlik şirketi Trend Micro tarafından yayınlanan LokiBot kötü amaçlı yazılım ailesi, mağdurları etkilemek için steganografi kullanmak üzere geliştirilmiştir. Steganografi, fikri mülkiyeti korumaya yardımcı olmak gibi meşru amaçlar için kullanılır, LokiBot için durum böyle değildir. LokiBot'un yeni bir analizi, en son varyantın şifrelenmiş ve .png görüntü dosyalarında saklandığını ortaya koydu. Ayrıca, spam e-postalarda kötü amaçlı arşiv dosyaları da tespit edildi. En son değişken, kimlik avı e-postası Güney Doğu Asya'daki bir şirkete gönderildiğinde tespit edildi. Posta, iki nesne içeren bir Microsoft Word .doc eki, bir Microsoft Excel 97-2003 Çalışma Sayfası ve “package.json” etiketli bir paket içeriyordu. Aynı steganografik unsurlar olmasaydı, VirusTotal üzerinde yapılan bir tarama çok benzer içeren diğer benzer örnekleri ortaya çıkardı.

Bir kullanıcı kötü amaçlı dosyayı açarsa, dosya açılır. Bir komut dosyasını açtıktan sonra, kötü amaçlı yazılımı LokiBot kaynak kodunu içeren bir .jpg dosyasıyla birlikte geçici bir klasöre .exe dosyası olarak yükler. LokiBot'u gizleyen resim bir resim olarak açılabilir, ancak yine de LokiBot paketini açma rutinini içerir. Yükleyici, görüntünün gizli metni içinde bir işaretleyici arar, bu durumda işaretleyici bir dize değişkenidir.

İşaretçi tespit edildiğinde şifreleme işlemi başlar, ancak mevcut birçok şifre çözme işleminden birini kullanmak yerine, kötü amaçlı yazılım yazarları özel şifrelemeyle eşleşmesi için özel bir şifre çözme işlemi kullanır. Şifreyi çözdükten sonra, kodu LokiBot'a açar ve bilgisayarın hafızasına yüklenir. Bu yeni değişkeni analiz eden araştırmacılar,

“Bu özel değişkenin steganografiye güvenmesinin olası bir nedeni, başka bir gizleme katmanı eklemesi - wscript (VBS dosya yorumlayıcısı), kötü amaçlı yazılımın kendisini yürüten kötü amaçlı yazılımı yerine çalıştırmak için kullanılıyor. Otomatik başlatma mekanizması bir komut dosyası kullandığından, gelecekteki değişkenler anında komut dosyası dosyasını değiştirerek kalıcılık yöntemini değiştirmeyi seçebilir. ”

LokiBot özellikle iğrenç bir bilgi hırsızıdır ve yeteneklerini daha da geliştirmek için keşfinden bu yana sayısız güncelleme geçirmiştir. Steganografinin kullanımının ötesinde, LokiBot bir keylogger işlevi görebilir ve hem devamlılık sağlamak hem de saldırganın komut-kontrol sunucusuna çalınan verileri göndermek için Windows sistemlerinde arka kapılar kurabilir. Trend Micro, yeni varyantı içeren kimlik avı e-postalarının, Trend Micro'nun tanıdığı 56 kuruluşa gönderildiğini onayladı. Araştırmacı,

“Bugün vahşi yaşamdaki en aktif bilgi hırsızlarından biri olan LokiBot, yavaşlama belirtileri göstermiyor. Kalıcılık ve şaşırtma mekanizmalarındaki güncellemeler, LokiBot'un hala güncellenmekte olduğunu ve yakın gelecekte ele alınacak bir tehdit olabileceğini gösteriyor. ”

Satılık LokiBot Kötü Amaçlı Yazılım

LokiBot ilk kez 2015 yılında yeraltı forumlarında bir şifre ve kripto cüzdanı hırsızı olarak ilan edildiğinde keşfedildi. Buna rağmen, oldukça yumuşak bir satış perdesi sayısız kez daha fazla bir şey sakladığını gördüm. Araştırmacılar 2017 yılında yayınlanan bir bildiri yayınladılar. 2017 yılına kadar LokiBot'un radarda başarılı bir şekilde kendisini koruduğu belirtildi. Güvenlik araştırmacıları, bilgi sahibine çok fazla düşünce veya analiz vermediler. Bu LokiBot bulaşmış veya devam eden bir kampanyaya karşı savunanlar için bir sorun oluşturuyordu. Beyaz sayfa, inanılmaz derecede teknik bir okuma yapmakta ancak kötü amaçlı yazılımın eksiksiz analizine izin vermektedir. Buna rağmen LokiBot, sürekli güncelleme akışı nedeniyle bir tehdit olmaya devam ediyor. 2018’de yine Trend Micro’dan araştırmacılar keşfettiMicrosoft Installer'ı kötüye kullanmak için kötüye kullanan kötü amaçlı yazılım. Yeni yükleme yöntemi, güvenlik yazılımı paketleri tarafından algılamayı atlamak için kullanıldı. Aynı teknikleri kullanan çok sayıda kötü amaçlı yazılım ailesi nedeniyle, örneğin, Wscript, Powershell, Mshta.exe, Winword.exe aracılığıyla indirilmiş, güvenlik yazılımı bu tür kötüye kullanımların tespit edilmesinde inanılmaz derecede iyi olmuştur. Bu, bilgisayar korsanlarının başarılı olmak istiyorsa yeni kaçırma tekniklerinin bulunması gerektiği anlamına gelir. Bu durumda, Windows Installer'ı kötüye kullanıyordu, en son sürümde kötü amaçlı yazılım şifreleniyor ve aynı şeyi yapmak için bir görüntüde gizleniyor. 

İyi haber şu ki, LokiBot dağıtımını yapanlar hala kötü amaçlı yazılımları dağıtmak için phishing e-posta kampanyalarına güveniyorlar. Bu, kullanıcıların en iyi siber güvenlik uygulamalarını benimseyerek virüsleri bu olaylardan önce hafifletebilecekleri anlamına gelir. GöreTrend Micro kullanıcıları, enfeksiyonu önlemek için aşağıdakileri yapabilir:

Dilbilgisi ve tipografik hatalara karşı dikkatli olun. Ticari e-postalar, özellikle bir işletme ve tedarikçileri arasındaki iletişim, genellikle profesyonelce yazılır. Kesin dilbilgisi veya yazım hataları içeren bir e-posta, bunun kötü amaçlı bir e-posta olduğuna işaret eder.
Gönderenin e-posta adresini iki kez kontrol edin. Bir e-postanın gerçek olup olmadığını belirlemenin en kolay yolu, gönderenin e-posta adresini kontrol etmektir. Gönderenin kuruluşunun resmi alanını kullanmazsa veya olağandışı bir e-posta kullanıyorsa, bu bir kırmızı bayraktır.
Bağlam. E-posta içeriği tartışma ile ilgili bir içerik sağlamazsa (bir astar gibi) ve ayrıca bir bağlantı veya ek içeriyorsa, kötü amaçlı bir spam girişimi olma olasılığı yüksektir.
Tıklama veya indirme. Bir e-posta meşru gözükse bile, kaynağın meşru olduğu doğrulanıncaya kadar herhangi bir bağlantıya tıklamaktan veya herhangi bir dosyayı indirmekten kaçınmak yine de akıllıca olur. Hacked e-posta hesapları daha önce mızrak avcılığı için kullanılıyordu.

Diğer Konular