Perşembe, Haziran 13, 2024

ÇOK OKUNANLAR

İLGİLİ YAZILAR

ValleyRAT: Yeni Nesil Uzaktan Erişim Truva Atı

Önemli Noktalar

  • ValleyRAT, çok aşamalı yükler kullanır.

  • XOR ve RC4 şifrelemeleri kullanılır.

  • Süreç enjeksiyonu ve API çözümlemesi ile tespit edilmez.

Zscaler siber güvenlik araştırmacıları, bu yılın başlarında ortaya çıkan sofistike bir Uzaktan Erişim Truva Atı (RAT) olan ValleyRAT’ın kullanım yöntemlerini detaylı bir şekilde inceledi. Bu zararlı yazılım, kurbanların sistemlerine izinsiz erişim sağlamak için çeşitli teknikler kullanıyor ve genellikle güvenlik yazılımlarını atlatmak için karmaşık çok aşamalı yükler kullanıyor.

Kampanya Analizi

Enfeksiyonun ilk aşaması, temel DLL yüklerini içeren XOR ve RC4 ile şifrelenmiş dosyaları alıp çözen bir indiriciyi içerir. Bu DLL’ler, belirli güvenlik süreçlerini kontrol edip sonlandırırken ek dosyaları indirir. Bu dosyalardan biri yönetici ayrıcalıklarıyla çalıştırılır ve saldırının ikincil aşamasını başlatır. Kampanya, bileşenleri indirmek ve komuta-kontrol (C2) iletişimlerini yürütmek için bir HFS sunucusu kullanır, ekran görüntüleri alma ve günlükleri temizleme gibi yeni komutlarla zararlı yazılımın işlevlerini genişletir.

Enfeksiyon sürecinin bir parçası olarak, zararlı yazılım ek şifreli yükleri açıp yükleyen kötü amaçlı bir DLL yan yükler. Bu ikincil yük, kalıcılığı sağlamak ve tespit edilmeyi önlemek için askıya alınmış bir sistem sürecine enjekte edilir. Enjekte edilen shellcode dinamik olarak API’leri çözer, C2 yapılandırmalarını alır ve daha fazla şifreli yükü çalıştırır, enfekte sistemde bir dayanak noktası oluşturur.

Zararlı yazılım, yükleyicisini otomatik çalıştırmaya ekleyerek ve bileşen dosyalarını gizleyerek kalıcılık sağlar. Çok aşamalı yüklerini gizlice teslim etmek için süreç enjeksiyonu ve API çözümleme gibi sofistike yöntemler kullanır. Son yük, DLL yüklemeyi ve yapılandırma dizelerini ayrıştırmayı yansıtan şifresi çözülmüş bir shellcode içerir ve ek verileri indirmek için C2 sunucusuyla iletişim kurar.

Temel Bilgiler

– ValleyRAT, gizlilik ve kalıcılık için çok aşamalı yük teslimatı kullanır.
– Zararlı yazılım, yükleri için XOR ve RC4 şifrelemesi kullanır.
– Güvenlik yazılımlarını atlatmak için süreç enjeksiyonu ve API çözümlemesi uygular.

  • ValleyRAT, çok aşamalı yükler kullanır.
  • XOR ve RC4 şifrelemeleri kullanılır.
  • Süreç enjeksiyonu ve API çözümlemesi ile tespit edilmez.
Bizi Facebook ve Twitter ( X ) hesaplarımızdan takip edebilirsiniz.
Web’s Editör
Web’s Editör
Web'in Dijital Sesi sloganıyla 2020 yılından bu yana yayın yapan websesi.com, teknoloji haberleri, trend teknolojik gelişmeler, oyunlar, girişim hikayeleri ve dünya çapında ses getiren her konuda seni bilgilendirmek için burada.

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz

POPÜLER İÇERİKLER