Güvenlik araştırmacıları, gelişmiş tehdit algılama yeteneklerine sahip sertleştirilmiş kurumsal ağlarda dağıtım için özel olarak tasarlanmış Çin bağlantılı gizli bir arka kapı olan Daxin'i keşfetti.
Symantec'in tehdit avcısı ekibi tarafından yayınlanan teknik bir rapora göre, Daxin, Çinli aktörlerin konuşlandırıldığı görülen en gelişmiş arka kapılardan biridir.
Daxin'de bir farklılaşma noktası, bir Windows çekirdek sürücüsü olan, kötü amaçlı yazılım manzarasında atipik bir seçim olan formudur. Gizliliği, düzenli internet trafiği ile veri alışverişini karıştıran gelişmiş iletişim özelliklerinden gelir.
Symantec, "Daxin, şüphesiz, en gelişmiş kötü amaçlı yazılımın en gelişmiş parçası, Çin bağlantılı bir aktör tarafından kullandığını gördü" dedi.
"Yeteneklerini ve konuşlandırılmış saldırılarının niteliği göz önüne alındığında, Daxin sertleştirilmiş hedeflere karşı kullanım için optimize edildiği görülüyor, saldırganların bir hedefin ağına derin çökmesini ve şüpheleri yükselmeden verileri dışlamalarına izin veriyor."
Backdoors, tehlikeye atılan bir bilgisayar sistemine uzaktan erişimli tehdit aktörleri sağlar, verileri çalmalarını, komutları çalıştırmalarını veya daha fazla kötü amaçlı yazılımları indirmelerini ve yüklemelerine izin verir.
Bu araçlar tipik olarak korunan ağlardan bilgi çalmak için kullanılır veya bir cihazdan daha fazla ödün vermek için kullanılır, ağ trafiği izleme araçlarındaki alarmları yükseltmek için bir miktar veri aktarım şifreleme veya kaçak oluşturmaları gerekir.
Daxin, belirli kalıplar için bir cihazdaki ağ trafiğini izleyerek bunu yapar. Bu kalıplar algılandıktan sonra, meşru TCP bağlantısını kaçırır ve komut ve kontrol sunucusuyla iletişim kurmak için kullanın.
TCP iletişimini ele geçirerek, Daxin Kötü Amaçlı Yazılımlar, meşru trafik olarak algılanan ve böylece tespit edilmediğinde kötü amaçlı iletişimi gizleyebilir.
"Daxin'in kaçırıldı TCP bağlantıları kullanımı, iletişimine yüksek derecede gizli bir gizlilik sağlar ve sıkı güvenlik duvarı kurallarına sahip ağlarda bağlantı kurmaya yardımcı olur. Aynı zamanda, SOC analistleri tarafından ağ anomalileri için izleme riski daha da azaltabilir" dedi Symantec .
Bu, özellikle görünüşte masum bir TCP tüneli ile yapılan verileri iletmek veya çalmak için şifreli bir iletişim kanalı açar.
"Daxin'in dahili işlevselliği, enfekte olmuş bilgisayara ek bileşenleri dağıtarak artırılabilir. Daxin, \\. \ Tcp4 adlı bir cihazı uygulayarak bu tür bileşenler için özel bir iletişim mekanizması sağlar.
"Kötü niyetli bileşenler bu cihazı iletişim için kaydetmek için açabilir. Bileşenlerin her biri, 32 bitlik bir servis tanımlayıcısını açılan \\. \ TCP4 tutamağı ile ilişkilendirebilir. Uzaktan saldırgan daha sonra belirli bir türden mesaj gönderirken tanımlanan bir eşleştirme hizmeti belirleyerek seçilen bileşenlerle iletişim kurabilir. "
Daxin ayrıca, aynı anda birden fazla virüslü bilgisayarlarda karmaşık iletişim yolları oluşturma kabiliyeti nedeniyle öne çıkıyor, bir kerede tek bir düğüm için tek bir komut kullanarak.
Bu, tehdit aktörlerinin, iyi korunmuş ağlarda hızlı bir şekilde bağlantı kurmasını ve iletişim kanallarını şifrelenmiştir.
Aynı zamanda, düğümler aktifken ve röle noktaları olarak işlev görürken, kötü amaçlı trafiğin şüpheli olarak işaretlendiği şansı minimumda tutulur.
Symantec'in tehdit analistleri, Daxin'i Çin devlet destekli hack grup sümüklüsüne (AKA OWLPROXY) bağlayan kanıt bulmuşlardır.
Bildirildiğine göre, belirli bir arka kapı, en azından Kasım 2019'dan bu yana saldırılarda aktif olarak kullanılmaktadır.
Daxin'i içeren en son saldırılar, Kasım 2021'de telekomünikasyon, ulaşım ve imalat şirketlerini hedeflemektedir.
Symantec'in kötü amaçlı yazılımın 2013 yılında ilk kez örneklendiğini iddia etmeye değer, zaten bugünün versiyonunda gördüğümüz gelişmiş algılama kaçınma tekniklerini sunuyor.
Bununla birlikte, daha sonra, Gizli bilgisayar korsanlarının 2019 yılına kadar tespit edilmemesi muhtemel olsa da, daha sonra Daxin'i içeren hiçbir saldırı görülmedi.
Microsoft: Ukrayna, işgal öncesi Foxblade kötü amaçlı yazılım saatleriyle vurdu.
ABD Savunma Müteahhitleri Stealthy Sockdetour Windows Backdoor'dan Vurdu
FritzFrog Botnet 10x büyür, Healthcare, Edu ve Govt sistemlerini vurur
Devlet Hacker'ın yeni kötü amaçlı yazılımları 250 gün boyunca tespit edilemelerine yardımcı oldu
Memento Ransomware ile bağlantılı siberler yeni PowerShell Malware
Kaynak: Bleeping Computer