Siber güvenlik araştırmacıları, PureLogs adı verilen bir bilgi hırsızı sunmak için sosyal mühendislik ve Blogger sayfalarını kullanan yeni, çok aşamalı bir kötü amaçlı yazılım dağıtım saldırı zincirini işaretledi.
Etkinliğe Securonix tarafından VEIL#DROP kod adı verilmiştir. İlk veri yüklerinin hedef odaklı kimlik avı veya şüphelenmeyen bir kullanıcının saldırganın kontrolü altındaki bir web sitesine (meşru veya başka türlü) girdiğinde ortaya çıkan bir saldırı yoluyla dağıtıldığından şüpheleniliyor.
Araştırmacılar Akshay Gaikwad, Shikha Sangwan ve Aaron Beardslee, The Hacker News ile paylaşılan bir raporda "Bulaşma zinciri, Windows Komut Dosyası Sunucusu aracılığıyla yürütülen ve yürütme politikası atlamaları etkinken PowerShell'i başlatan bir belge (örneğin, transkript.pdf.js) gibi görünen aldatıcı bir şekilde adlandırılmış bir JavaScript dosyasıyla başlıyor." dedi.
Gelecekte Ne Bekleniyor?
Yüksek düzeyde, PowerShell betiği, Blogger'da ("htlwub00klocate.blogspot[.]com") barındırılan bir sonraki aşama yükünü almaktan sorumludur ve saldırganların, Google'ın güvenilir altyapısını bir aşamalandırıcı olarak kötüye kullanarak itibara dayalı savunmaları atlamasına ve meşru web etkinliğine uyum sağlamasına olanak tanır.
İndirilen PowerShell verisi, Google gibi zararsız bir web sayfasını yüklemek için bir kanal görevi görerek bir PDF belgesinin açıldığı izlenimini yaratırken, bulaşma dizisi arka planda sessizce ilerler ve sonuçta, güvenliği ihlal edilmiş ana bilgisayarlardan çok çeşitli hassas verileri toplamasıyla bilinen .NET tabanlı bir bilgi hırsızı olan PureLogs Stealer'ın konuşlandırılmasına yol açar.
Nasıl Önlem Alınmalı?
Securonix'in kıdemli güvenlik araştırma mühendisi Akshay Gaikwad, The Hacker News'e PureLogs Stealer'ın, PureCoder olarak bilinen bir tehdit aktörü tarafından hizmet olarak kötü amaçlı yazılım (MaaS) modeli altında sunulan hırsızın aynısı olduğunu söyledi. Aynı zamanda PureLog olarak da adlandırılır.
PowerShell yükleyici ayrıca takip eden PowerShell komutlarının sınırsız yürütülmesini sağlamaya, adli takibi en aza indirmek için "wscript.exe" gibi seçilen işlemleri sonlandırmaya, yürütme kanıtını ortadan kaldırmak için "transcript.pdf.js"yi silmeye ve yerleşik bir veri yükünün şifresini çözmeye çalışır.
Detaylar ve Etkileri
Securonix, "Başarılı XOR şifre çözmenin ardından yükleyici, VEIL#DROP çerçevesinin en kaçamak bileşenlerinden birine geçiş yapıyor: çalışma zamanı mutasyonuyla birleştirilmiş dinamik aşama oluşturma," diye açıkladı Securonix. "Kötü amaçlı yazılım, sabit kodlanmış URL'ler veya öngörülebilir yürütme kalıpları gibi statik göstergeler kullanmak yerine, yürütme sırasında bir sonraki aşamadaki yük konumunu dinamik olarak oluşturuyor."
Bu, statik URL imzalarını, gösterge tabanlı engellemeyi ve URL tabanlı filtreleme mekanizmalarını atlamak amacıyla URL dizesine rastgele sayıda eğik çizgi ("/") ekleyerek her yürütme için benzersiz bir blogspot[.]com URL'si oluşturmayı içerir.
Buna ek olarak, kodu çözülmüş komut dosyası, komut dosyası içindeki yer tutucu değerleri yürütme sırasında rastgele oluşturulmuş dizeler ve değerlerle değiştirerek çalışma zamanı mutasyonunu ve polimorfizmi ortaya çıkarır. Bu değişkenlik, komut dosyası imzalarını ve dosya karmalarını ortadan kaldırarak güvenilir algılamayı engellemek için tasarlanmıştır.
Sistem Güvenliği
Yeniden oluşturulan komut dosyası nihayet diskte herhangi bir yapıt bırakmadan tamamen bellekte yürütülür. Bu bileşen, yansıtıcı kod yükleme olarak bilinen bir teknik kullanılarak başlatılan bir .NET derlemesinden başka bir şey olmayan temel kötü amaçlı yazılım bileşeninin kodunun çözülmesinden ve çalıştırılmasından sorumlu bir yükleyici olarak işlev görür.
Güvenlik kontrolleri ve diğer çevresel kısıtlamaların kurtarılan .NET derlemelerini doğrudan bellekten yürütmesini engellemesi durumunda yükleyici, aynı hedefleri dikkat çekmeden gerçekleştirmek için "regsvcs.exe", "installutil.exe", "msbuild.exe" ve "aspnet_compiler.exe" gibi Microsoft imzalı ikili dosyalara dayanan bir geri dönüş yürütme yöntemi içerir.
Bu ikili dosyalara güvenildiğinden, Microsoft tarafından imzalandığından ve sistemde zaten mevcut olduğundan, arazide yaşama (LotL) yaklaşımı, saldırganların faaliyetlerinin meşru görünmesini ve radarın altından uçmasını sağlar.
Teknik Analiz
Araştırmacılar, "Yükleyicinin en dikkate değer yönlerinden biri, herhangi bir LOLBin'e bağlı olmamasıdır" dedi. "Bunun yerine, yürütme basamaklı bir modeli takip ediyor ve her yöntem başarılı olana kadar deneniyor."
Toplanan veriler hedef ortamın derinliklerine inmek, kalıcılık oluşturmak, yanal hareket gerçekleştirmek ve hatta bulut altyapısını ihlal etmek için bir basamak görevi görebileceğinden, hırsız enfeksiyonunun etkisi genellikle başlangıçta tehlikeye atılan uç noktanın ötesine geçer.
Uzmanların Görüşleri
"Güvenliği aşılmış web siteleri, çoklu uzantı maskeleme, güvenilir bulut hizmetleri, XOR ile gizlenmiş verinin birleşimi Securonix, "ds, yansıtıcı .NET yükleme, dosyasız yürütme ve LOLBIN'in kötüye kullanılması, geleneksel antivirüs çözümlerinden kaçınmak, adli yapaylıkları azaltmak ve enfeksiyon yaşam döngüsü boyunca operasyonel gizliliği sürdürmek için kasıtlı bir çabayı gösteriyor" dedi.