Raspberry Robin Worm ile Atlatma Yöntemi

Tehdit aktörleri, detection sistemlerini atlatmak ve tespit sistemleri tarafından analiz edilmekten kaçınmak için kendi uydurdukları kötü amaçlı yazılım kullanmaktadır.Bu teknik ile kötü amaçlı yazılım analiz edildiğini ve algıladığını fark erderse sahte bir payload ile yemlemektedir.Eğer analiz ya da detection gerçekleşmezse, Raspberry Robin kötü amaçlı yazılım execute etmeye başlamaktadır.

Raspberry Robin Nedir?

Fidye yazılımı tehdit grupları, güvenlik açığı olan ağlara erişim elde etmek için solucan benzeri kötü amaçlı yazılım “ Raspberry Robin” kullanmaktadır..

Yapılan araştırmalara göre son zamanlarda siber suçluların telekomünikasyon servis sağlayıcılarına ve devlet sistemlerine yönelik “Raspberry Robin” kullanma eğiliminde olduğu tespit edilmiştir.

Raspberry Robin Nasıl Çalışır?

Zararlı USB ile birlikte gelen LNK dosyaları tıklandığında kendini sisteme enfekte etmeye başlar.Oluşan kısa yollar kullanıdığı anda MSIExec.exe aracılığı ile zararlı MSI installer download edilir Raspberry Robin payload için ortam hazırlanmış olur.

Malware yazılımı analiz edilirken sanal ortamda (sandboxing) çalıştırıldığında, sahte bir payload bırakır.

Sahte payload’un iki ek katmanı vardır:

· Embedded PE dosyasına sahip bir kabuk kodu

· MZ header ve PE imzası kaldırılmış bir PE dosyası.

Execution sırasında, bulaşma belirteçlerini arayarak Windows kayıt defterini okumaya çalışır. Bundan sonra, temel sistem bilgilerini toplamaya başlar.

Bir sonraki adım, sahte payload, analiz sistemini son payload’una ulaştığı konusunda yanıltması gereken "BrowserAssistant" reklam yazılımını indirmeye ve çalıştırmaya aşamasıdır..

Yukarıdaki ortamında olmadığı durumlarda Raspberry Robin malware yazılımı aktif olarak sistemi etkileyemeye başlar.Analiz edilmesi oldukça güçtür.

Etkileşime geçtikten hemen sonra , kullanıcı yönetici haklarına sahip değilse, "ucmDccwCOMMethod UACMe" adlı bir ayrıcalık yükseltme yöntemi aracılığıyla yönetici ayrıcalıkları kazanır.

Her şey hazır olduğunda kötü amaçlı yazılım, sabit kodlanmış Tor adresleriyle bağlantı kurmaya çalışır ilgili operatörleriyle bilgi alışverişine yapmaya başlamaktadır.

Raspberry Robin bulaşma sürecinin bir diğer dikkat çekici özelliklerinden bir tanesi de kendisini uç noktaya bağlı diğer USB sürücülere kopyalayarak diğer sistemlere de bulaşmaya devam edebilmesidir.

Kaynak: https://www.bleepingcomputer.com/news/security/raspberry-robin-worm-drops-fake-malware-to-confuse-researchers/

https://www.trendmicro.com/en_us/research/22/l/raspberry-robin-malware-targets-telecom-governments.html