bencede
New member
BT güvenliği araştırmacıları Whiffy Recon kötü amaçlı yazılımını keşfetti ve analiz etti. Bir komuta ve kontrol sunucusuyla bağlantı kuran ve her 60 saniyede bir konumunu kontrol eden bir Windows parazitidir. Bunu neden yaptığı şu anda belirsiz.
Duyuru
Secureworks çalışanları, Smoke Loader botnet’i tarafından virüslü sistemlere dağıtılan kötü amaçlı yazılımları takip etti. Whiffy Recon, virüs bulaşmış sistemin konumunu çevredeki WLAN erişim noktalarına göre üçgenliyor ve bunları Google’ın Geolocation API’sine gönderiyor.
Whiffy Recon: Nasıl Çalışır İncelendi
Prensip olarak Whiffy Recon çok karmaşık bir kötü amaçlı yazılım gibi görünmüyor. Secureworks analizine göre, WLANSVChizmet bilgisayarda mevcuttur, ancak çalışıyorsa yoktur. Hizmet mevcut değilse, kötü amaçlı yazılım sonlandırılır. Bir bağlantı oluşturarak kalıcılığa ulaşır wlan.lnk kötü amaçlı yazılım dosyasının kullanıcı otomatik başlatma klasöründe.
Kötü amaçlı yazılım iki kod döngüsü başlatır. Biri bunu komuta ve kontrol sunucusuna (C2) kaydeder, diğeri WLAN taramasıyla ilgilenir. Sınav C2 dosyayı arar %APPDATA%wlanstr-12.binBot-ID-UUID ve Secret-UUID gibi iki ayrı değeri içeren. Eğer yoksa C2’den veri almaya çalışır. Dosya mevcutsa Whiffy Recon, Windows WiFi API’sini kullanarak yakındaki WiFi erişim noktalarını arar. Kod, bunu Google’ın Geolocation API’sine yapılan bir JSON isteğine sarıyor.
Kod daha sonra bu verileri, çevredeki erişim noktaları ve bunların şifreleme yöntemleri hakkında ayrıntılı bilgilerle birlikte C2 sunucusuna gönderir. Bu veriler dakikada bir toplandığından, beyinler virüslü cihazı izleyebilir. Siber araştırmacılar, siber suçluların bu verileri nasıl kullandıklarının belirsiz olduğunu yazıyor. Ancak şunları ekliyorlar: “Konuma erişimleri olduğunu göstererek mağdurları korkutabilirler veya taleplere uymaları için onlara baskı uygulayabilirler.”
Siber güvenlik araştırmacıları diğer enfeksiyon belirtilerinden bahsediyor (Uzlaşma Göstergeleri, IOC). IP adreslerinin ve URL’lerin hızla değişebileceğine dikkat çekiyorlar.
Duyuru
En son Temmuz ortasında Microsoft, dijital olarak imzalanmış 133 Windows sürücüsünde kötü amaçlı yazılım tespit etti. Şirket daha sonra bunları engelledi ve ilgili geliştirici lisanslarını askıya aldı.
(Bilmiyorum)
Haberin Sonu
Duyuru
Secureworks çalışanları, Smoke Loader botnet’i tarafından virüslü sistemlere dağıtılan kötü amaçlı yazılımları takip etti. Whiffy Recon, virüs bulaşmış sistemin konumunu çevredeki WLAN erişim noktalarına göre üçgenliyor ve bunları Google’ın Geolocation API’sine gönderiyor.
Whiffy Recon: Nasıl Çalışır İncelendi
Prensip olarak Whiffy Recon çok karmaşık bir kötü amaçlı yazılım gibi görünmüyor. Secureworks analizine göre, WLANSVChizmet bilgisayarda mevcuttur, ancak çalışıyorsa yoktur. Hizmet mevcut değilse, kötü amaçlı yazılım sonlandırılır. Bir bağlantı oluşturarak kalıcılığa ulaşır wlan.lnk kötü amaçlı yazılım dosyasının kullanıcı otomatik başlatma klasöründe.
Kötü amaçlı yazılım iki kod döngüsü başlatır. Biri bunu komuta ve kontrol sunucusuna (C2) kaydeder, diğeri WLAN taramasıyla ilgilenir. Sınav C2 dosyayı arar %APPDATA%wlanstr-12.binBot-ID-UUID ve Secret-UUID gibi iki ayrı değeri içeren. Eğer yoksa C2’den veri almaya çalışır. Dosya mevcutsa Whiffy Recon, Windows WiFi API’sini kullanarak yakındaki WiFi erişim noktalarını arar. Kod, bunu Google’ın Geolocation API’sine yapılan bir JSON isteğine sarıyor.
Kod daha sonra bu verileri, çevredeki erişim noktaları ve bunların şifreleme yöntemleri hakkında ayrıntılı bilgilerle birlikte C2 sunucusuna gönderir. Bu veriler dakikada bir toplandığından, beyinler virüslü cihazı izleyebilir. Siber araştırmacılar, siber suçluların bu verileri nasıl kullandıklarının belirsiz olduğunu yazıyor. Ancak şunları ekliyorlar: “Konuma erişimleri olduğunu göstererek mağdurları korkutabilirler veya taleplere uymaları için onlara baskı uygulayabilirler.”
Siber güvenlik araştırmacıları diğer enfeksiyon belirtilerinden bahsediyor (Uzlaşma Göstergeleri, IOC). IP adreslerinin ve URL’lerin hızla değişebileceğine dikkat çekiyorlar.
Duyuru
En son Temmuz ortasında Microsoft, dijital olarak imzalanmış 133 Windows sürücüsünde kötü amaçlı yazılım tespit etti. Şirket daha sonra bunları engelledi ve ilgili geliştirici lisanslarını askıya aldı.
(Bilmiyorum)
Haberin Sonu