contact us

Backdoor RAT ve yükleyici kaçırma teknikleri
Siber güvenlik tehditleri alanında, RAT (uzaktan erişim Truva atı) gibi kötü amaçlı yazılımlarla karşılaşmak gerekir. Uzak yerlerden gelen saldırıları başlatmanın yanı sıra, hala bir "arka kapı" tehdidi de var.

Backdoor RAT ve yükleyici kaçırma teknikleri

Siber güvenlik tehditleri alanında, RAT (uzaktan erişim Truva atı) gibi kötü amaçlı yazılımlarla karşılaşmak gerekir. Uzak yerlerden gelen saldırıları başlatmanın yanı sıra, hala bir "backdoor " tehdidi de var. Gizleme, iyi huylu dosyaların kullanımı, şifreleme ve uzaktan yürütme gibi teknikler kullanılır.

Microsoft tarafından keşfedilen yeni RATS backdoor biri AsyncRAT'tır. Bu kötü amaçlı yazılımın takma adı yoktur ve Revenge olarak da bilinen Revengerat'a benzerdir.

RevengeRAT kötü amaçlı bir programdır ve saldırıya uğramış web sitelerinde kötü amaçlı reklamlar ve e-postadaki kötü amaçlı ekler aracılığıyla cihazlara saldırıp bulaştığı bilinmektedir. Kötü amaçlı yazılım dosyaları içeren bir Visual Basic komut dosyası olarak gönderilir.rar veya .zip, veya.kimlik avı saldırıları yoluyla doc. Saldırganlar, kullanıcıları kötü amaçlı yazılımın bulunduğu OneDrive, iCloud Drive ve Google Drive gibi bulut barındırma sitelerine yönlendiren gömülü görüntülere sahip e-postaları veya bağlantıları kullanır.

Bununla nasıl başa çıkılır?

Microsoft Defender virüsten koruma yazılımı, bu tehdidi algıladığı anda otomatik olarak bu tehdidi ortadan kaldırır. Kullanıcının bulut tabanlı siber güvenlik çözümleri varsa, cihazının bilinmeyen ve yeni kötü amaçlı yazılımlara karşı en son korumalarla donatıldığından emin olabilir. Kullanıcının böyle bir çözümü yoksa, virüsten koruma yazılımını güncellemeniz ve herhangi bir tehdidi ortadan kaldırmak için tam bir tarama yapmanız gerekir.

Bir tehdit tespit edilirse, maruziyetini azaltmak için çeşitli önleyici tedbirler alınabilir:

- Bir cihaz etkilenirse, sisteme kötü amaçlı kodun çalıştırılma olasılığı yüksek olduğu ve cihazın saldırganın kontrolü altında olduğu için cihaz derhal izole edilmelidir.

- Etkilenen cihazda kullanılan hesaplar da tehlikeye girer. Bu hesapları devre dışı bırakabilir veya parolalarınızı sıfırlayabilirsiniz.

- Kötü amaçlı yazılımın bunlara nasıl bulaştığını anlamak için virüslü uç noktalarla ilgili kapsamlı bir araştırma yapılmalıdır. Ayrıca e-posta ve web trafiğini de kontrol etmeniz gerekir.

- Cihazın zaman çizelgesini incelemek, ele geçirilen hesaplardan birinde kullanılan yanal hareket eylemlerine ilişkin talimatlar verecektir.

- Cihazın içine yerleştirilmiş araçların olup olmadığını kontrol etmeniz gerekir. Bu araçlar, kimlik bilgilerine erişmenizi veya yanal hareket etmenizi veya başka herhangi bir saldırı türünü gerçekleştirmenizi sağlar.

Teknik bilgiler ve tehdit davranışı

Revengerat'ın kötü amaçlı yazılımını birden çok operatör kullanıyor. Kötü amaçlı yazılım ailelerinin davranışları ve kodları ve HTTP (tactics, techniques, procedures), AsyncRAT, LimeRAT, Netwire, QuasarRAT, Cybergate, ClipBanker, Vjw0rm, WSHRat ve diğer pek çok isimsiz gibi diğer kamuya açık RAT'lere benzerdir.

Saldırı süreci

Kullanıcı Visual basic komut dosyasını yüklediğinde, wscript işlemi başlatılır.exe, daha sonra Pastebin adlı bir siteye bağlanan bir PowerShell betiği çalıştırılır. İkinci adımda, şu şekilde bilinen bir komut dosyası yüklenir SysTray.PS . Bu senaryonun perseverasyonu sağlayan, hedef verileri toplayan ve ardından saldırganın komut kontrol sunucusuna geri bağlanan ek bir işlem oluşturduğu bilinmektedir. Kurbanın cihazındaki eski filtrelenmiş veriler saldırganın uzak sunucusuna aktarılır.

Cihazınızın kötü amaçlı yazılımlara bulaşmasını nasıl önleyebilirim?

Son kullanıcılar için ipuçları

- Tüm güvenlik açıklarını gidermek için web tarayıcıları, Microsoft Office, Adobe Flash Player ve Java gibi popüler programların güncel tutulması gerekir. Windows'un en son sürümleri, yazılımı otomatik olarak güncellemenizi sağlar.

- Şüpheli e-postalardan ve diğer mesajlaşma araçlarından kaçının. Bağlantılar ve ekler kötü amaçlı yazılımlar içerir ve tıklandığında sisteme girerler. Örneğin, Microsoft Office 365'in yerleşik bağlantı koruması, spam filtreleme ve kötü amaçlı yazılımlara karşı koruması vardır.

Kötü amaçlı web sitelerine göz kulak olun ve siteler tek bir cihaza çarpabileceğinden onları ziyaret etmekten kaçının. Bir sitenin kötü amaçlı olup olmadığını kontrol etmek için, şirketi temsil eden alan adını kontrol ederek bir sitenin kötü amaçlı olup olmadığını kontrol edebilirsiniz. İçinde yazım hataları varsa, dikkatli olmalısınız. Birçok kötü amaçlı site, orijinal site adını O harfi ile sıfır (0) veya L ile l ile 1 (bir) ile değiştirir.

- Sitenin gerçek adı ise Article.com şöyle yazılmıştır Artic1e.com . site şüphe uyandırıyor ve kaçınılmalıdır.

- Agresif bir şekilde ortaya çıkan ve kullanıcıları sürekli olarak kandırarak onları tıklamaya ve saldırıya uğramaya zorlayan siteler.

- Korsan içeriği kullanmaktan kaçının, çünkü bu sadece yasadışı değil, aynı zamanda kötü amaçlı yazılım bulaşmasıyla da doludur.

- Herhangi bir müzik, uygulama veya filmin indirilmesi resmi web siteleri ve uygulama mağazaları aracılığıyla yapılmalıdır.

- Bilinmeyen kaynaklardan flash sürücüleri veya çıkarılabilir sürücüleri cihazınıza bağlamayın. Kötü amaçlı yazılımlar bu sürücülerden cihaza nüfuz eder.

- Yönetici olmayan bir hesap kullanın. Kötü amaçlı yazılımların sisteme girmesi durumunda, kötü amaçlı yazılım aktif kullanıcıyla aynı ayrıcalıklar altında çalışır. Bu yönetici ise, ayrıcalıklar sınırsız olacak ve kötü amaçlı yazılımlara ücretsiz bir yol kat edecektir. Aksi takdirde, ayrıcalıklar sınırlıdır ve hasar kısıtlanır.

Kuruluş IT yöneticileri için ipuçları

- En yeni işletim sistemine ve uygulama yazılımına sahip olmak önemlidir. Windows 10'dan önceki sürümleri kullanmamanız önerilir. Otomatik güncellemenin etkinleştirilmesi, en son güvenlik düzeltmelerinin kullanıma sunulduktan hemen sonra yüklenmesine yardımcı olur.

Tutmak

- Herhangi bir güvenlik açığını tespit etmek için uç noktaları kötü amaçlı yazılımlardan koruyun

- Bulut tabanlı kötü amaçlı yazılım korumasının etkinleştirilmesi, örnekleri otomatik olarak bir virüsten koruma uzmanına aktarmanıza olanak tanır. Bu programlar, bilinmeyen ve yeni tehditleri hızlı bir şekilde tanımlamak ve durdurmak için AI ve ML'yi kullanır.

- Saldırı yüzeyini azaltma kurallarının dahil edilmesi ve ilgili eylemleri durdurarak tehdidin engellenmesi. Denetim modunda dağıtılan bu kurallar sürekli taramayı dikkate alır.

- Yöneticiler, cihazlarında kötü amaçlı yazılımların bulaşmasını önlemek için son kullanıcıları kimlik bilgilerinin hijyen kurallarına alıştırmak için eğitimler uygulamalıdır.

- En düşük ayrıcalık kurallarını ayarlama ve yerel yönetici ayrıcalıklarını sınırlama. Bu, RAT'ın cihazlara yüklenmesini önleyecektir.

- Sahte siteler, kimlik avı siteleri ve kötü amaçlı yazılım kullanan ve barındıran siteler de dahil olmak üzere kötü amaçlı web sitelerini tanımlayan ve engelleyen web tarayıcılarını teşvik edin.

- Yazılım uygulama güncellemeleri SSL bağlantıları kullanılarak teslim edilir.

Etkili bir virüsten koruma yazılımı, cihazınızda herhangi bir tehdit tespit ederse alarm verir. Tehdit tespit edildikten hemen sonra silinir. Kötü amaçlı yazılımlar karantinaya alınır.