Yaklaşık 2015’ten beri radarın altından kalkan ve çok çeşitli kötü amaçlı yükleri sunabilen oldukça yaygın .NET tabanlı bir şifreleyici, 16 aylık bir süre içinde yaklaşık 10.000 kod örneğinin VirusTotal’a yüklenmesiyle hızla gelişmeye devam ediyor.
Secureworks’teki araştırmacılara göre, “DarkTortilla” olarak adlandırılan crypter, genellikle AgentTesla, AsyncRat, NanoCore ve RedLine gibi bilgi hırsızları ve uzaktan erişim truva atları (RAT’ler) sunar, ancak bazı örneklerin Cobalt Strike ve Metasploit gibi hedeflenen yükler sağladığı görülmüştür. Karşı Tehdit Birimi (CTU).
Ayrıca diğer kötü amaçlı yazılımlar, zararsız sahte belgeler ve yürütülebilir dosyalar gibi eklenti paketleri de sunabilir. DarkTorilla ayrıca tehdit avcılarının onu tespit etmesini, analiz etmesini ve ortadan kaldırmasını zorlaştırmak için tasarlanmış bir dizi kontrolle birlikte gelir.
CTU analistleri Çarşamba günü yayınlanan bir raporda, “Araştırmacılar genellikle DarkTortilla’yı gözden kaçırıyor ve ana yüküne odaklanıyorlar.” “Ancak, DarkTortilla algılamadan kaçabilir, yüksek düzeyde yapılandırılabilir ve çok çeşitli popüler ve etkili kötü amaçlı yazılımlar sunar. Yetenekleri ve yaygınlığı onu zorlu bir tehdit haline getiriyor.”
Şifreleyici, güvenlik programlarının algılamasını zorlaştırmak için kötü amaçlı yazılımları şifrelemek, gizlemek ve değiştirmek için tasarlanmış bir yazılımdır. Siber güvenlik sağlayıcısı Trend Micro’ya göre, siber suçlular, güvenlik yazılımını geçmek ve hedeflenen bir sisteme yüklemek için kendisini zararsız bir program olarak sunan kötü amaçlı yazılımlar oluşturmak için şifreleyiciler kullanıyor. Şifreleyiciler kötü amaçlı bir programı şifreler ve kodu yeniden birleştirir.
Normalde şifreleyiciler, hedef odaklı kimlik avı e-postalarındaki ve spam iletilerdeki ekler aracılığıyla gönderilir. Secureworks, VirusTotal örneklerini incelerken, DarkTortilla’yı spam e-postalar aracılığıyla dağıtan “çok sayıda kampanya” buldu ve kurbana özelleştirildi. CTU’ya göre, e-posta örneklerini İngilizce, Almanca, Rumence, ispanyolca ve bulgarca.
CTU’da kıdemli güvenlik araştırmacısı olan Rob Pantazopoulos şunları söyledi: Kayıt DarkTortilla gibi kötü amaçlı yazılımların bu kadar uzun süre aktif olması ve algılanmaması alışılmadık bir durum, ancak vahşi doğada bir dizi genel .NET tabanlı şifreleyici, yükleyici ve damlatıcı arasında yer alarak yardımcı oldu. Ayrıca, bu kötü amaçlı yazılımların çoğu ConfuserEX, DeapSea ve Eazfuscator gibi kod gizleme araçları kullanılarak kodlanmıştır.
Pantazopoulos, “Sonuç olarak, bu şifreleyiciler, kripterin tersine mühendisliğinin büyük olasılıkla sonuçlanacağı yüksek maliyet ve düşük ödül göz önüne alındığında, güvenlik araştırmacıları tarafından ana yükleri lehine genellikle göz ardı edilir.” Dedi.
MalwareBytes analistlerinin “Saint Bot” olarak adlandırdıkları bir indirici hakkında geçen yılki bir raporda atıfta bulunulan “sonraki aşama .NET dropper” ve “.NET downloader”ın, DarkTortilla’nın ilk ve raporda gözden kaçan yükleyici ve çekirdek işlemci bileşenleri olduğundan şüpheleniyor. .
MalwareBytes araştırmacıları ayrıca 2015 yılında yeni bir .NET şifreleyicisi hakkında bir rapor yayınladılar ve onun muhtemelen .NET bağlantısı, ayrıntılı bir yapılandırma, kullanıcıya özel bir mesaj kutusu görüntüleme yeteneği de dahil olmak üzere bazı paylaşılan özelliklere dayanarak DarkTortilla’nın daha eski bir örneği olduğunu söyledi. kurban ve anti-sanal makine ve sanal alan kontrolleri. Herhangi bir bağlantıyı daha fazla doğrulamak için daha fazla araştırmaya ihtiyaç vardır.
DarkTortilla, kötü amaçlı yükleri başlatmak için gerekli olan iki bileşen içerir – ilk yükleyici olarak .NET tabanlı bir yürütülebilir dosya ve çekirdek işlemci olarak .NET tabanlı bir DLL. İlk yükleyici, çekirdek işlemcinin kodunu çözer, yükler ve yürütür, ardından yapılandırmasını çıkarır, şifresini çözer ve ayrıştırır. Ayrıca sahte mesaj kutusunu görüntüleyebilir, sanal makineleri ve sanal alanları kontrol edebilir, kalıcılığı uygulayabilir ve eklenti paketlerini işleyebilir. Çekirdek işlemci daha sonra yapılandırılmış ana yükü enjekte eder ve yürütür ve kurcalamaya karşı kontrollerini uygular.
Pantazopoulos’a göre, sunduğu çok çeşitli kötü amaçlı yazılım, CTU araştırmacılarına siber suçlular tarafından nasıl kullanıldığına dair bir ipucu veriyor.
“Bu kriptonun nasıl ve nerede satıldığını henüz belirlememiş olsak da, bunun bir hizmet olarak satıldığından şüpheleniyoruz” dedi. “Sonuç olarak, kripter ile ilişkili tehdit aktörleri ve ilgili yükler çılgınca değişecektir.”
Ocak 2021 ile Mayıs 2022 arasında VirusTotal’a yüklenen DarkTortilla kod örneklerinin sayısı, Pantazopoulos’un normalde gördüğünden çok daha fazla. Popüler bir emtia kötü amaçlı yazılım ailesinin VirusTotal’daki 365 günlük “retrohunt’larında” CTU, birkaç yüz ila 2.000 kadar isabet görme eğilimindedir. Bu 16 ay boyunca, haftada ortalama 93 benzersiz DarkTortilla örneği vardı.
DarkTortilla’da görülen kod benzerlikleri, en son 2016’da güncellenen ve 2008 ile 2012 arasında etkin olan RATs Crew tehdit grubu tarafından çalıştırılan bir şifreleyici ve geçen yıl ortaya çıkan ve benzer kötü amaçlı yazılımları kullanan Gameloader dahil olmak üzere diğer kötü amaçlı yazılımlarla olası bağlantılar önerir. spam cezbeder ve ayrıca .NET kaynaklarını kullanır.
DarkTortilla çok uzun süredir var olmasına rağmen hala gelişiyor.
Pantazopoulos, “İlk yükleyicide gördüğümüz varyasyonlar göz önüne alındığında kripterin aktif olarak geliştirildiğini biliyoruz.” Dedi. “Özellikle, yaklaşık olarak Mayıs 2021’den Aralık 2021’e kadar DarkTortilla’nın ilk yükleyicisi, kodlanmış çekirdek işlemcisini halka açık yapıştırma sitelerinden alacak şekilde değiştirildi. [like Pastebin and TextBin]. Bu sürenin öncesinde ve sonrasında, kodlanmış çekirdek işlemler DarkTortilla’nın ilk yükleyici yürütülebilir dosyasının kaynakları içinde depolanmıştı.”
CTU araştırmacıları, DarkTortilla’nın yapılandırmasının ayrıştırılmasıyla ilişkili belirli özellik adları da dahil olmak üzere çekirdek işlemci DLL’sinde yapılan küçük değişiklikler gördüklerini söyledi.
Güvenlik profesyonellerinin, VirusTotal’daki çok sayıda kod örneğinin gösterdiği gibi, yaygınlığı ve algılamadan kaçma yeteneği, yapılandırılabilirliği ve sunduğu çok çeşitli popüler kötü amaçlı yazılımlar nedeniyle DarkTortilla’ya dikkat etmesi gerekir. Birincil yükü bellek içinde yürütüldüğünden, dosya sisteminde, Pantazopoulos’un tespitten kaçınmak için yaygın bir teknik olduğunu söylediği yükün hiçbir kanıtı bulunmayacaktır.
“DarkTortilla’nın kurcalamaya karşı koruma özelliği, bir ortamda kalıcı kalmasını sağlıyor” dedi. “Ayrıntılı yapılandırması sayesinde DarkTortilla, benzer kötü amaçlı yazılımların sahip olmadığı çok yönlülüğe sahiptir. Çok sayıda veri yükü ile yapılandırılabilir, birden çok kalıcılık türünü destekler, kurbana özelleştirilebilir bir mesaj kutusu görüntüleme yeteneğine sahiptir ve yürütmesini, ilk çalıştırma sırasında birden çok kez taşıyabilir. uygulamak.” ®