Saldırıda kullanılan truva atı, sistemdeki belirli bir dosyaya bağlı olmadığı için sistemde gizlidir. Bunun yerine, gelecekteki yürütmeler için saldırgan tarafından Windows olay günlüğüne yerleştirilir.
Kaspersky’ye göre tehdit aktörü tanımlanmadı veya aktif kötü amaçlı yazılım gruplarından herhangi biriyle bağlantılı değil.
Kaspersky araştırmacıları, kötü niyetli aktörün saldırıya uğrayan bilgisayar sistemlerinde tespit edilmekten kaçınmak için çeşitli kaçma yöntemlerini ve tekniklerini nasıl kullandığını anlatıyor. Saldırıda olay izleme ve kötü amaçlı yazılımdan koruma tarama arayüzleriyle ilgili “Windows yerel API işlevlerini yamalamak” için Dropper modülleri kullanıldı.
Gelişmiş saldırı, Kaspersky’nin saldırının ilk aşamasını fark ettiği Eylül 2021’de başladı. Saldırganlar saldırıda Kobalt Strike çerçevesini kullandılar, ancak ilk adım kullanıcı düzeyinde başladı. Hedef, file.io sitesini barındıran dosyadan bir RAR arşiv dosyası indirdi ve ardından çalıştırdı. Kaspersky’ye göre diğer hedefler için farklı saldırı senaryoları ve teknikleri kullanıldı, ancak tüm saldırılar, hedeflerin ilk keşfini ve ek saldırılar için hazırlıkları içeriyor gibi görünüyor.
Açıklanan yöntem, saldırganlara süreçlere kod enjekte etme yeteneği verdi ve bu, Windows’a ve güvenilir uygulamalara ek modüller eklemek için kullanıldı. Saldırganların kullandığı tek araç seti Kobalt Strike değildi. Kaspersky, SilentBreak çerçevesinin izlerini belirledi ve birkaç truva atı, ThrowbackDLL.dll ve SlingshotDLL.dll, SilentBreak çerçevesinin Gerileme ve Sapan araçlarından sonra adlandırıldı.
Analiz edilen saldırılardan biri, ilk enfeksiyon gerçekleştikten sonra Windows süreçlerine kod enjeksiyonu ile başladı. saldırganların uyguladığı algılamadan kaçınma mekanizmalarının bir parçası olarak saldırının önceki aşamalarının izlerini sistemden kaldırdı.
Windows Olay Günlüğüne Saldırı Kodu Yerleştirme
Kötü amaçlı yazılımın benzersiz yönlerinden biri, yük depolaması için Windows olay günlüğünün kullanılmasıydı. Bunun ana avantajı, dosyasız yaklaşımın yükün tespit edilmesini zorlaştırmasıdır.
Kaspersky’nin araştırmasına göre kabuk kodunun “kontrolünü ilk baytına iletir”. Saldırının bir sonraki aşamasını yürütmek için kullanılan verileri gönderir:
- Saldırıda kullanılan bir sonraki truva atının adresi ortaya çıkıyor.
- Dışa aktarılan bir işlevin standart bir ROR13 karması.
- Dışa aktarılan işlevin bağımsız değişkenleri haline gelen iki dizenin adresleri.
Komut ve kontrol sunucusuyla RC4 şifrelemeli HTTP veya adlandırılmış kanallarla şifrelenmemiş iletişim kullanan son aşama truva atı iletişimi. Bağlantıyı test etmek için önce boş ama şifreli bir dize gönderir.
Hedef sistemin parmak izi, bilgisayar adı, yerel IP adresi, mimari, işletim sistemi sürümü, SOFTWARE\Microsoft\Cryptography altında bulunan MachineGUID değerleri ve işlemin SeDebugPrivilege olup olmadığı gibi bilgileri toplayarak aşama olarak truva atı tarafından alınıyor.
Saldırganların Kullandığı Anti Algılama Teknikleri
Saldırganlar, radardan kaçmak için çok çeşitli tespit önleme teknikleri kullandılar:
- Birkaç farklı derleyicinin kullanımı
- Beyaz listedeki başlatıcılar
- Dijital sertifikaların kullanımı. “Fast Invest” sertifikalarıyla 15 dosya imzalandı
- ntdll.dll’nin yama günlüğü aktarma
- Windows olay günlüğüne kabuk kodu yerleştirme
- C2 web alanı taklit etme
Kaspersky, yükün depolanması için Windows olay günlüğünün kullanımını kötü amaçlı yazılımların “en yenilikçi kısmı” olarak görmektedir.
Saldırı hakkında ek bilgi Securelist’te mevcuttur.
