A
admin
Guest
ESET araştırmacıları, Windows kodlarını gaye alan eşsiz ve daha evvel belgelenmemiş bir ziyanlı keşfetti. Bu ziyanlı başkalarından farklı olarak bir sunucu üzere çalışıyor ve alınan modülleri bellekte yürütüyor. Wslink ismi verilen bu ziyanlı yükleyici Orta Avrupa, Kuzey Amerika ve Ortadoğu’yu gaye alıyor.
Bir çeşit yükleyici olan ziyanlı yazılımın bu tipi, etkilediği makinelere öteki çalıştırılabilir evrakları yüklüyor; berbat gayeli bir kod kesimi, program, olarak kullanılıyor. Ziyanlı yazılım direkt belleği hedefliyor. ESET geçtiğimiz iki yıl içerisinde telemetrisinde sadece birkaç tane Wslink örneği gördü. Tespit edilen örnekler Orta Avrupa, Kuzey Amerika ve Orta Doğu’da yer alıyor.
Wslink’i keşfeden ESET araştırmacısı Vladislav Hrcka husus ile ilgili şunları söylemiş oldu: “Wslink, sıradan lakin kayda kıymet bir yükleyici. Çoklukla karşılaştığımız başka yükleyicilerden farklı olarak bir sunucu olarak çalışıyor ve alınan modülleri bellekte yürütüyor. DLL’lerinin birinden ötürü bu yeni berbat emelli yazılıma Wslink ismini verdik.”
Bu aracın bilinen bir tehdit aktörü kümesinden olduğuna dair bir kod, fonksiyon yahut operasyonel benzerlik bulunmuyor. Ayrıyeten modülleri bağlantı, anahtarlar ve soketler için yükleyici fonksiyonlarını bir daha kullanıyor; ötürüsıyla yeni giden temasları başlatmaları gerekmiyor. Wslink, ele geçirilen bilgileri korumak için düzgün geliştirilmiş bir kriptografik protokole de sahip.
Hrcka bu durumu şöyleki açıklıyor: “Kötü hedefli yazılım tahlili konusunda yeni başlayanların ilgisini çekebileceğini düşündüğümüz, kendi sürümümüz olan bir Wslink istemcisi oluşturduk. Bu istemci, yükleyicinin çıkış fonksiyonlarının nasıl tekrar kullanılabileceğini ve bu fonksiyonlarla nasıl etkileşime geçilebileceğini gösteriyor. Ayrıyeten tahlilimiz, siber güvenlik koruyucuları için bu tehditle ilgili bilgilendirici bir kaynak niteliğinde.” İstemci ile ilgili tam kaynak kodu, WslinkClient GitHub depomuzda mevcut.
Bir çeşit yükleyici olan ziyanlı yazılımın bu tipi, etkilediği makinelere öteki çalıştırılabilir evrakları yüklüyor; berbat gayeli bir kod kesimi, program, olarak kullanılıyor. Ziyanlı yazılım direkt belleği hedefliyor. ESET geçtiğimiz iki yıl içerisinde telemetrisinde sadece birkaç tane Wslink örneği gördü. Tespit edilen örnekler Orta Avrupa, Kuzey Amerika ve Orta Doğu’da yer alıyor.
Wslink’i keşfeden ESET araştırmacısı Vladislav Hrcka husus ile ilgili şunları söylemiş oldu: “Wslink, sıradan lakin kayda kıymet bir yükleyici. Çoklukla karşılaştığımız başka yükleyicilerden farklı olarak bir sunucu olarak çalışıyor ve alınan modülleri bellekte yürütüyor. DLL’lerinin birinden ötürü bu yeni berbat emelli yazılıma Wslink ismini verdik.”
Bu aracın bilinen bir tehdit aktörü kümesinden olduğuna dair bir kod, fonksiyon yahut operasyonel benzerlik bulunmuyor. Ayrıyeten modülleri bağlantı, anahtarlar ve soketler için yükleyici fonksiyonlarını bir daha kullanıyor; ötürüsıyla yeni giden temasları başlatmaları gerekmiyor. Wslink, ele geçirilen bilgileri korumak için düzgün geliştirilmiş bir kriptografik protokole de sahip.
Hrcka bu durumu şöyleki açıklıyor: “Kötü hedefli yazılım tahlili konusunda yeni başlayanların ilgisini çekebileceğini düşündüğümüz, kendi sürümümüz olan bir Wslink istemcisi oluşturduk. Bu istemci, yükleyicinin çıkış fonksiyonlarının nasıl tekrar kullanılabileceğini ve bu fonksiyonlarla nasıl etkileşime geçilebileceğini gösteriyor. Ayrıyeten tahlilimiz, siber güvenlik koruyucuları için bu tehditle ilgili bilgilendirici bir kaynak niteliğinde.” İstemci ile ilgili tam kaynak kodu, WslinkClient GitHub depomuzda mevcut.