Filmler ve TV şovları bize bilgisayar korsanlarını zor görevlerle, ayrıntılı planlarla ve ayrıntılı planlarla ilişkilendirmeyi öğretti. Güvenlik araştırmacısı Carlos Fernández ve benim yakın zamanda açık kaynak kayıtlarında bulduğumuz şey farklı bir hikaye anlatıyor: Kötü aktörler basitliği, etkililiği ve kullanıcı merkezli düşünmeyi tercih ediyor. Kötü amaçlı kodlarını bir sonraki seviyeye taşımak için ChatGPT'nin desteklediği yeni özellikler de ekliyorlar. Tıpkı hizmet olarak yazılım ( ) gibi, , ve gibi hizmet olarak kötü amaçlı yazılım (MaaS) tekliflerinin yer altı pazarlarında bu kadar popüler hale gelmesinin bir nedeni de, bunların Aktif müşteri destek kanalları ve ürünleri genellikle şık ve kullanıcı dostudur. Bu ürünlerin genellikle profesyonel siber suçlular tarafından üretildiğini söylemeye gerek yok. SaaS DuckLogs Redline Stealer Racoon Stealer Bu kutuları işaretleyin, bu formu doldurun, bu düğmeye tıklayın… İşte kullanıma hazır kötü amaçlı yazılım örneğiniz! token yakalayıcı gibi doğada bulduğumuz daha az popüler MaaS tekliflerinde, insan merkezli tasarım ilkelerini birleştirme girişimi var, ancak ürün müşteri desteğinde başarısız oluyor. Çoğunlukla gençler tarafından işletilen ve tüketilen ilgili Telegram hesapları, "ömür boyu garanti" vaadinin yerine getirilmemesi nedeniyle şikayetlerle ve düşmanca "kardeş söylemleriyle" dolu: Discord Z3US Sonatype'e katılmadan önce bile merak ediyordum. Artık dünyanın dört bir yanından bir dizi kampanyayı ve kötü aktörleri takip ettiğime göre, benim için bir şey netleşti: Güvenlik araştırma ekibinin dikkatime sunduğu kötü amaçlı paketlerin çoğu, kapüşonlu tuhaf bir dehanın ürünü değil monitörlerle dolu karanlık bir bodrumdan kodlama. MaaS'ın basit yapısı sayesinde, herkes minimum kurulum maliyeti ve teknik bilgiyle kolayca yazılım örnekleri oluşturabilir ve açık kaynak kayıt defterlerine yükleyebilir. siber suçların modern yüzünün neye benzediğini kötü amaçlı Avast araştırmacıları, devam eden Kovid-19 salgınının başlangıcından bu yana Discord ve Telegram gibi platformların genç nüfus arasında giderek daha popüler hale geldiğini . Bu gençler, ana akım sosyal medyayı kullanmak yerine, ebeveynlerinin gözetiminden uzakta oyun oynamak, sohbet etmek ve sosyalleşmek amacıyla Discord'da kötü amaçlı yazılım toplulukları oluşturuyor. Bu topluluklar genellikle rakip sunucuların mülkiyetini alarak, hatta şüphelenmeyen kurbanlardan çaldıkları bilgilerin yer aldığı ekran görüntülerini paylaşarak gösteriş yapan, teknik açıdan en yetkin üyeler tarafından yönetiliyor. Ayrıca programlama becerilerine veya kampanyalarına katkıda bulunma potansiyellerine göre aktif olarak başka üyeler arıyorlar. gözlemledi Bu faaliyetlerin istenmeyen bir sonucu olarak, güvendiğimiz dayanıklı açık kaynak kayıtları aşırı kaynak yüküyle karşı karşıya kalıyor. güvenlik araştırmacılarımız, npm ve PyPI kayıtlarına yüklenen çok sayıda 6.933 paketin kötü amaçlı olduğunu doğruladı. Yalnızca geçen ay Yakın zamanda PyPI'ye 5.000'den fazla paket yükleyen EsqueleSquad adlı İspanyolca konuşan bir grubun . Bu paketlerdeki veri, PowerShell komutunu kullanarak Dropbox, GitHub ve Discord'dan bir Windows Truva Atı indirmeye çalıştı. kampanyasını takip ettik Daha sonra, hassas bilgileri sızdırmak için tasarlanmış kötü amaçlı yazılım içeren paketler oluşturan, muhtemelen İspanya'dan gelen SylexSquad adlı başka bir grubun . Ürünlerini YouTube videolarıyla tanıtmanın ve bunları bir pazar yerinde satmanın yanı sıra, yeni üyeler kazanmak için küçük bir Discord topluluğu da var. Ve açık kaynaklı yazılım tedarik zincirini kirletmek için bolca zamanları var gibi görünüyor. faaliyetlerini araştırdık Bir tutam yapay zeka içeren kaydırılmış kod Nisan ayının ilk haftasında yapay zeka sistemimiz, PyPI'ye yüklenen bir dizi paketi şüpheli olarak işaretledi ve daha sonra güvenlik araştırmacılarımız tarafından kötü amaçlı olduğu doğrulandı. Bu paketler, "py" ön ekinden ve ardından antivirüs yazılımına yapılan referanslardan oluşan bir adlandırma düzenine sahipti: , , ve . pydefenderultra pyjunkerpro pyanalizate pydefenderpro Carlos Fernández, paketlerin SylexSquad grubuna atfedildiğini fark etti ve bu da, ve paketlerini içeren, daha önce takip ettiğimiz bir kampanyanın devam ettiğini öne sürdü. Bu keşfi yaptıktan sonra faaliyetlerini haritalamaya başladık. rever_shell sintaxisoyyo Bir kedi fare oyununda, bu paketlerden birinin kötü amaçlı olduğunu her onayladığımızda, PyPI ekibi onu kaldırmamıza yardım edecek ve birkaç saat sonra kötü aktörler benzer isimli bir paketi gizlice içeri alacaklardı. Size bu kampanyanın tam resmini verebilmek için ilk bulgularımızı özetleyelim: Geliştiriciler PyPI paketi kuracak olsaydı, , GitHub'da barındırılan ve ASCII kodlarına karşılık gelen bir dizi sayı olarak kodlanan, hafif karmaşık bir komut dosyası olan çalıştırırdı. revers_shell'i setup.py bypass.py Gizlemenin kaldırılmasından sonra, kalıcılık için Windows'ta yeni kayıt defteri değerleri oluşturacak ve sonuç olarak GitHub tarafından barındırılan başka bir dosya olan dosyasını bir bilgi çalıcı olarak çağıracaktır. Tarayıcı bilgileri (geçmiş, çerezler, şifreler…), Steam hesapları, Telegram hesapları, kredi kartları ve hatta kurbanın masaüstünün ekran görüntüsü gibi hassas veriler, saldırganın Discord web kancası kullanılarak yüklenecek. WindowsDefender.py Bu gruba atfedilen yeni paketlere hızlıca ilerleyin ve "4 katmanlı algoritmayla koruma" vaat eden bir hizmet olan ile oluşturulmuş, yoğun şekilde gizlenmiş koddan (AES 256 şifreleme) oluşan tamamen farklı bir buluyoruz. Carlos, kod gizleme süreci için kolları sıvamadan önce, kamufle edilmiş kod okyanusundan yalnızca iki parça bilgiyi seçebiliyorduk: hizmet URL'si ve okunabilir bir mesaj: ' ' Bu mesajdaki her kelime, gizleme işlemi için kullanılan bir değişkendi: Pyobfuscate setup.py why, are, you, reading, this, thing, huh Pyobfuscate'in nasıl çalıştığına dair ayrıntılara girmeyeceğim, ancak Carlos sabır ve uzmanlıkla kodun karmaşıklığını başarıyla çözmeyi ve gerçek biçimini ortaya çıkarmayı başardı. Gizlenmiş içeriğin yalnızca değil, aynı zamanda başlangıçta GitHub'dan ve şimdi de hizmetinden alınan önceden okunabilir de mevcut olmasını ilgi çekici buldu. setup.py transfer.sh WindowsDefender.py Kötü aktörler yeterince hızlı hareket etmediğinde, bizim gibi güvenlik araştırmacılarının ve GitHub'ın konusundaki kurallarının planlarını mahvetme ihtimali yüksektir. Başlangıçta GitHub deposu “joeldev27”de barındırılan ve PyPI paketleri ve tarafından kullanılan ve kısa süre sonra devre dışı bırakılan durumu da buna benzer. platformun kötü amaçlı yazılım CDN'si olarak kullanılmasına izin vermeme pycracker pyobfpremium WindowsDefender.py Bu dosya adı tutarlı bir şekilde kullanıldığından, biraz araştırma yaptım ve adlı bir GitHub deposunda barındırıldığını buldum. Bu bulguyu Carlos'la paylaştığımda, bana merak duygusuyla yanıt verdi: "Önümüzdeki birkaç saat içinde PyPI'de, gizleyen yeni bir paket görünecek. Kurulumdan sonra, az önce bulduğunuz adlı, oldukça karmaşık bir komut dosyası bulduğunuz bu depodan indirilecek ve bu, bir kalıcılık mekanizması oluşturacak ve daha önce araştırdığımız, adlı bilgi hırsızını indirecek. WindowsDefender.py CosasRandoms480 setup.py WindowsDefender.py WindowsDefender.py Tahmini, paketinin 30 dakikadan daha kısa bir süre sonra PyPI'de görünmesi ve “CosasRandoms480”i kötü amaçlı yazılım CDN'si olarak etkili bir şekilde kullanmasıyla gerçeğe dönüştü. Bunu PyPI ekibine bildirdik ve kısa süre sonra kaldırıldı. pyobfadvance Bilim adamları ve filozoflar merak ediyorlardı. Bir güvenlik araştırmacısı olarak çalışmak kesinlikle böyle hissettiriyor. Araştırma, keşfetme ve raporlama döngüsünde sıkışıp kalıyorsunuz ve aynı tehditler tekrar tekrar karşınıza çıkıyor. bir bilgisayar simülasyonunda yaşayıp yaşamadığımızı İki gün sonra sistemimizde yeni bir SylexSquad kredili paket işaretlendi: Aynı karmaşık . Aynı dosyasını aynı kalıcılık mekanizması koduyla ve bilgi hırsızının aynı yürütülmesiyle çalıştıran aynı URL. Her şey aynı görünüyordu, ancak dosya ve yeni bir komut dosyası çağrılıyordu: pydefenderpro. setup.py WindowsDefender.py WindowsDefender.py aynı GitHub deposundaki artık karmaşık değildi transfer.sh'den "Bu bir RAT!" Carlos bana mesaj attı. "Ayrıca bir bilgi hırsızı..." Slack'ten "Bir RAT Mutantı mı?" Uzaktan erişim truva atlarını ve bilgi hırsızlarını birleştiren bir tür kötü amaçlı yazılım türünde bir eğilime atıfta bulunarak yanıt verdim. takip ettiğimiz "Kesinlikle" dedi Carlos. OSINT araştırması, yeni RAT kodunun orijinal olmadığını, bir kopyası olduğunu ortaya çıkardı: DiscordRAT kopyasının : PyPI ekibine kötü amaçlı bir paket bildirilir ve PyPy ekibi onu kaldırır. Durulayın ve tekrarlayın Tabii kısa süre sonra yeni bir paket sahneye çıktı. Burada farklı olan şey, muhtemelen “CosasRandoms480” deposunun devre dışı bırakılması nedeniyle, kötü niyetli kişilerin indirmek için GitHub yerine hizmetine geçiş yapmalarıydı. olan pydefenderultra WindowsDefender.py Pastebin.pl okunabilir sürümünün ihlal ettiğini doğrulamayı kolaylaştırdığından şüpheleniyoruz. Peki neden kötü oyuncular senaryonun belirsizliğini kaldırmaya karar verdiler? Basit süreçleri için çok mu karmaşıktı? WindowsDefender.py GitHub kurallarını RAT mutasyona uğramaya devam etti. Menü ve yorumlar artık İspanyolcaya çevrildi ve ek işlevlere sahip oldu. Döngü, başka bir paket olan yüklediklerinde devam etti. Bu kez eklenen işlevler arasında bir keylogger, ses kaydedici, işletim sistemi verilerinin sızdırılması ve kurbandan herhangi bir dosyayı saldırganın Discord kanalına yükleme yeteneği yer alıyordu. Kodla ilgili yorumlar alışılmadık derecede çoktu ve bu genellikle yalnızca eğitim koduyla ilişkilendiriliyor ve bir kötü amaçlı yazılım parçasıyla ilişkilendirilmiyor. pyjunkerpro'yu "Bekle," dedi Carlos yüksek sesle düşünerek, "Ya yeni işlevler yaratmak için yapay zekayı kullanıyorlarsa?" ve gibi araçlar, yapay zeka tarafından oluşturulan metni tespit etmek için iyi bir başlangıç noktası sağlar. Bununla birlikte, yapay zeka tarafından oluşturulan kodu tanımlamak hala zordur, çünkü şu anda bunu doğru bir şekilde yapabilecek (bildiğim kadarıyla) hiçbir araç yoktur. Neyse ki insanlar kalıpları tanıma konusunda hâlâ çok iyiler… GPTZero Copyleaks Hızla bir ChatGPT sekmesi açtım ve İspanyolca bir komut yazdım ve şu anlama geliyordu: "PyAudio kullanarak uzaktaki bir bilgisayardan ses yükleyen bir Discord botu için Python kodu yazın." Aldığım çıktı ürkütücü derecede benzerdi: Görünüşe göre çeşitli kaynaklardan kod kopyalayan ve ardından yeni özellikler eklemek için ChatGPT'yi kullanan senaryo çocuklarını izliyorduk. Ortaya çıkan benzersiz kod, onlara reklamını yapma veya kendi pazar yerlerinde satma konusunda güven verdi. Ve hiç kimse bunun orijinal bir yaratım olmadığından şüphelenmez. YouTube'da Bu durum ilginç bir soruyu gündeme getiriyor: Bu kötü aktörlere ne ad vermeliyiz? Yapay zeka tarafından yazılan çocuklar mı? Acele edin çocuklar? ChatGPT'ye sordum ve şunu söyledi: Eğer bir kişi ChatGPT'yi kötü amaçlı yazılımlarına yeni yetenekler eklemek için kullanıyorsa, geleneksel bir yazılımcı çocuktan daha gelişmiş bir hacker türü olarak kabul edilebilir. Bunun yerine onlara "bilgisayar korsanları" veya "Yapay Zeka destekli bilgisayar korsanları" demek daha doğru olabilir. Büyüleyici. ChatGPT onlara daha fazla statü veriyor. Bir miktar yapay zeka içeren OSINT Carlos, deneme amacıyla, aracın kötü aktörlerin faaliyetleri hakkında daha fazla bilgi edinmemize yardımcı olup olmayacağını görmek için bir ipucu denemek istedi. “Discord API'sini bot olarak (belirteç kullanarak) kullanabilecek Python koduna ihtiyacım var. Komut dosyası bota bağlanmalı ve lonca bilgilerini, lonca üyelerini, lonca kanallarını ve mesaj geçmişini görüntülemelidir." Beklendiği gibi, ChatGPT, yoğun şekilde yorumlanan kod ve başlangıç için net talimatlar oluşturdu: . Böylece "Yapay Zeka destekli bilgisayar korsanlarının" eklediği belirteci kopyaladık ve yapay zeka tarafından oluşturulan Python betiğimize yapıştırdık. Bu kodu kullanmak için, "bot_token_here" ifadesini bot jetonunuzla değiştirin ve Python betiğini çalıştırın MicrosoftUpdate.py Bu kodu çalıştırdık… …ve biz de içerideydik! Üyeler (MEE6, $Demon666, $̷y̷n̷t̷a̷x̷E̷r̷r̷o̷r̷, aitanaxx05 + 4 tekrar, Esmeralda, SylexNaranjoDomina ve AI Image Generator), kanallar ve mesaj geçmişi hakkında bilgi topladık. Görünüşe göre zaten birkaç kullanıcıya virüs bulaştırmışlar; bir IP'nin Küba'dan, diğerinin ise Hindistan'dan olduğunu belirledik. Ve işletim sistemi bilgileri, virüslü kurbanın kullanıcı adının adını taşıyan kanallara sızıyordu: Yönetici ayrıcalıklarına sahip "SylexNaranjoDomina" adlı bir bota bağlı olduğumuzu keşfettik. Bu, birisinin üye eklemesine, web kancalarını silmesine veya mevcut kanalları değiştirmesine olanak sağlayabilir. Birisi lonca adını "Demon666 sunucusu" yerine "Script Kiddie sunucusu" olarak kolayca değiştirebilir; bu tür kötü aktörler için uygun bir tanım, ancak ChatGPT'nin bu fikre kaşlarını çatabileceğini düşünüyorum. Dikkatli olun Bu araştırma, MaaS'ın yaygınlaşmasının ve yapay zeka destekli kod kullanımının, teknik açıdan daha az yeterliliğe sahip kötü aktörler için yeni fırsatlar yarattığını açıkça ortaya koyuyor. Bu araç ve tekliflerden yararlanan kullanıcıların sayısı arttıkça, kötü amaçlı paketlerin yapı ortamınıza bulaşması için daha fazla fırsat ortaya çıkıyor. Siber güvenlik ortamı gelişmeye devam ettikçe savunmalarımız da gelişmelidir. Bilgili, dikkatli ve korunarak sürekli değişen siber suç tehdidine karşı bir adım önde olabiliriz.
