Qiling
Qiling, Zararlı Yükleyici (Loader) kategorisinde aktif olan ve dünya genelinde yaygın biçimde gözlemlenen bir zararlı yazılım ailesidir. Bu örnek, hedef sisteme ek zararlı yazılım yüklemek amacıyla tasarlanmış modüler bir yükleyici (loader) olarak tespit edilmiştir. Genellikle spam kampanyaları veya drive-by download saldırıları aracılığıyla dağıtılan bu yükleyici, sisteme sızdıktan sonra bankacılık trojanları, fidye yazılımları veya diğer ikinci aşama yükler indirebilmektedir.
Tarihçe
Qiling, emulasyon ve analiz cercevesi ortamlarinda zararlı yazilim davranisini simule etmek icin kullanilan bir araç olarak ortaya cikmistir. Zararlı yazilim analiz toplulugunca benimsenen bu cerceve, bazi kotu amacli aktörler tarafindan da kötüye kullanilmaktadir.
Teknik Detaylar
Loader ailesi: HTTP/HTTPS C2, payload sifre cozme ve bellek icerisinde yükleme, anti-sandbox/VM kontrolleri, process injection, persistence mekanizmasi, yükü indirme ve calistirma zinciri
Tehdit Profili
Tür
Loader
Yazılım DiliPython
C2 ProtokolüHTTP
İlk Görülme2020
Hedef Kitle
Windows
Amaç / Yetenekler
- Payload İndirme
- Süreç Enjeksiyonu
- Kalıcılık
- Anti-Analiz
Bu aile için henüz C2 sunucusu tespit edilmemiştir.