Giriş: Antivirüsleri Atlayan Yeni Nesil Tehdit
Siber güvenlik savunmalarını aşma yarışında saldırganlar, sürekli olarak yeni teknikler geliştirmektedir. Geleneksel koruma sistemlerinin radarına yakalanmakta zorlanan Easy2ConvertUpdater.exe adı altında gizlenen yeni .NET dropper/yükleyici, bu durumun en güncel örneğidir. Bu tehlikeli yazılım, ikincil zararlı yükü doğrudan bellek içine yüklemek için Yansıtıcı Kod Yükleme (Reflective Loading) tekniğini (MITRE ATT&CK T1620) kullanarak diski tarayan güvenlik yazılımlarını etkisiz hale getirir.
Bu kapsamlı analiz, CUMBUR.NET okuyucuları için tehdidin detaylarını, kullandığı taktikleri (TTP’ler) ve en önemlisi, kurumların bu gelişmiş tehditten korunması için gereken adımları sunar.
🔍 Easy2ConvertUpdater.exe: Teknik Derinlik ve Çalışma Mekanizması
Easy2ConvertUpdater.exe ikilisi, görünüşte masum bir güncelleme aracı gibi dursa da, gerçekte kötü amaçlı kod dağıtımı ve Komuta & Kontrol (C2) iletişimi için özel olarak tasarlanmış bir köprüdür.
1. Gizli Veri Toplama ve C2 Bağlantısı
- Sistem Kimliği Toplama: Dropper, sisteme özgü benzersiz kimlik verilerini içeren
u.txtdosyasını okur ve bu verileri kullanır. - Veri Paketi ve Gönderme: Toplanan veriler, bir JSON paketine dönüştürülerek HTTP POST yöntemi ile C2 sunucusuna iletilir:
hiko.lakienti[.]com. - Şifreli Yük Alımı: Sunucudan gelen yanıt, AES simetrik algoritmasıyla şifrelenmiş ikili bir zararlı yük içerir. Bu şifreleme, ağ trafiği analizini zorlaştırarak yükü gizler.
2. Savunmayı Atlama Taktikleri (Evasion Techniques)
Bu yükleyici, tespiti zorlaştırmak için anti-adli tıp ve kaçınma stratejilerini agresif bir şekilde kullanır:
| MITRE ATT&CK ID | Teknik | Açıklama |
| T1070.006 (Timestomping) | Zaman Damgası Manipülasyonu | Dosyanın derleme tarihini 2052 yılı gibi gelecekteki bir tarihe ayarlayarak kronolojik analizi karıştırır. |
| Sahte Kimlik | Şüpheli Sertifika Kullanımı | Dosya, oltalama (phishing) faaliyetleriyle ilişkilendirilen bluetakin adlı sahte bir sertifika ile imzalanmıştır. |
| T1620 (Reflective Loading) | Yansıtıcı Kod Yükleme | Zararlı yükü diske kaydetmeden doğrudan bellek içerisine dinamik olarak yükler ve çalıştırır. Dosyasız saldırının temelidir. |
💣 Tehdidin Potansiyel Zararı ve İkinci Aşama Yükler
Easy2ConvertUpdater.exe‘nin asıl tehlikesi, bir ikinci aşama yükleyici olarak hareket etmesidir. Bellek içi yürütme sayesinde, dağıtabileceği zararlı yük türü sınırsızdır. Bu durum, sızdırılan sistemin herhangi bir kötü amaçlı amaç için kullanılabileceği anlamına gelir:
- Kritik Veri Hırsızlığı: Bankacılık bilgileri, şifreler ve kimlik doğrulama belirteçlerini çalan Bilgi Çalıcılar (Stealers).
- Fidye Saldırıları: Verileri şifreleyen ve fidye talep eden Ransomware.
- Uzaktan Kontrol: Sisteme kalıcı ve gizli erişim sağlayan Uzaktan Erişim Truva Atları (RAT).
🛑 Kurumsal Korunma ve Kapatma Yöntemleri (Mitigation)
Bu tür bellek tabanlı ve kaçınmacı saldırılara karşı geleneksel antivirüs çözümleri yetersiz kalabilir. Savunma stratejisi, davranışsal analize ve bellek izlemesine odaklanmalıdır.
1. Uç Nokta Tespit ve Yanıtı (EDR) Optimizasyonu
- Bellek ve Davranış Analizi: EDR çözümlerinizi, süreçlerin System.Reflection.Assembly.Load() gibi dinamik yükleme fonksiyonlarını kullanıp kullanmadığını sürekli izleyecek şekilde ayarlayın.
- AMSI ve ETW Kullanımı: Windows Zararlı Yazılım Tarama Arayüzü (AMSI) ve Windows Olay İzleme (ETW) servislerinin tam olarak etkin olduğundan emin olun. Bu servisler, kod bellekte yürütülmeden önce yansıtıcı yükleme girişimlerini yakalamada kritik rol oynar.
- Anormal Bellek İzinleri: Süreçlerde belleğin koruma ayarlarının RWX (Oku-Yaz-Yürüt) olarak anormal bir şekilde değiştirilmesini izleyen kurallar oluşturun.
2. Ağ ve Güvenlik Duvarı Önlemleri
- C2 ve İlişkili Alan Adlarını Engelleme: Aşağıdaki IOC’leri ağ geçitlerinizde, güvenlik duvarlarınızda ve DNS filtrelerinizde acilen engelleyin:
hiko.lakienti[.]com,bluetakin[.]com,barinoty[.]com,confetly[.]com. - Sertifika Kontrolü: Ağ izleme sistemlerinizi (IDS/IPS), şüpheli veya bilinmeyen bluetakin gibi sertifika veren kuruluşları işaretleyecek şekilde yapılandırın.
3. Dijital Adli Tıp ve Zaman Analizi (DFIR)
- Timestomping Tespiti: NTFS’de
$STANDARD_INFORMATIONve$FILENAMEzaman damgalarını karşılaştıran adli tıp araçları kullanın. Eşleşmeyen damgalar manipülasyonun kesin göstergesidir. - Gelecek Tarihli Dosyaları Arama: Sistemlerinizde, derleme veya oluşturulma tarihi mantık dışı bir şekilde gelecekte (örn. 2052) olan dosyaları tespit etmek için otomatize taramalar gerçekleştirin.
🎯 Saldırı Göstergeleri (IOCs) – Engelleme Listesi
| Tür | Değer |
| Birincil C2 URL | hiko.lakienti[.]com |
| İlişkili Alan Adları | bluetakin[.]com, barinoty[.]com, confetly[.]com |
| SHA256 (Easy2ConvertUpdater.exe) | eb50b5d87e995f76ee66abf90bab7e718b507a69392582c0a97824c64ab9fbe9 |
CUMBUR.NET sitesinden daha fazla şey keşfedin
Subscribe to get the latest posts sent to your email.
