Nisan 2019'un sonunda, ESET araştırmacıları olağandışı davranışlar gözlemledi: Plead kötü amaçlı yazılımını dağıtmak için birden fazla girişim. APT organizasyonu blacktech tarafından kullanılıyor
Bu sefer aynı organizasyondu ve kısa süre önce tedarik zinciri saldırısını kıran ASUS'u piyasaya sürdü.
Önceki ASUS olayı: ShaHmer Operasyonu: Şüpheli Hua X Bilgisayar Şirketi, hedefli bir tedarik zinciri saldırısına maruz kaldı
Bu güvenlik olayı nasıl gelişti, birlikte öğrenelim.
* Bu saldırı keşfedildi ve ESET tarafından açıklandı.Nisan 2019'un sonunda, ESET araştırmacıları olağandışı davranışlar gözlemledi: Plead kötü amaçlı yazılımını dağıtmak için birden fazla girişim.
Özellikle, Plead arka kapısı AsusWSPanel.exe adlı yasal bir işlem tarafından oluşturulur ve yürütülür.
Bu program, ASUS WebStorage adlı bulut depolama hizmeti için bir Windows istemcisidir.
Yani ASUS bulut depolama yazılımı.
Muhtemelen bu şeyler
Şekil 1'de gösterildiği gibi, yürütülebilir dosya ASUS Cloud Corporation tarafından dijital olarak imzalanmıştır.
Gözlenen tüm Plead örnekleri aşağıdaki dosya adlarına sahiptir:
Asus Webstorage Upate.exeAraştırmalar, ASUS WebStorage'ın AsusWSPanel.exe modülünün, Şekil 2'de gösterildiği gibi yazılım güncelleme işlemi sırasında bu tür dosya adlarıyla dosyalar oluşturabildiğini göstermektedir.
Orijinal metinden yola çıkarak ESET, normal imzaya sahip bir yazılımın neden kötü amaçlı yazılım teslim edeceğini doğrulamayabilir, bu nedenle aşağıdaki iki olası saldırı senaryosunu verirler. (Blackbird ikinci sahnenin çok muhtemel olduğunu düşünüyor)
Tedarik zinciri, saldırganlara aynı anda çok sayıda hedefi sessizce imha etmeleri için sınırsız fırsatlar sunar: tedarik zinciri saldırılarının sayısının artmaya devam etmesinin nedeni budur.
Kötü amaçlı yazılım araştırmacıları için belirli tedarik zinciri saldırılarını tespit etmek ve onaylamak her zaman kolay değildir; bazen bunu kanıtlamak için yeterli kanıt yoktur.
Araştırmacılar, ASUS WebStorage tedarik zinciri saldırıları olasılığını değerlendirirken, aşağıdaki noktalar dikkate alınmalıdır:
1. İmzalı ASUS WebStorage yazılımı aynı güncelleme mekanizması ile güncellenir
2. Şu anda, araştırmacı ASUS WebStorage sunucusunun bir C&C sunucusu veya merkezi olmayan kötü amaçlı yazılım olarak kullanıldığını bilmiyor.
3. Saldırganlar, yasal yazılıma kötü amaçlı işlevler eklemek yerine bağımsız kötü amaçlı yazılım dosyaları kullanır
Bu nedenle, tedarik zinciri saldırılarının hipotezi daha az olasıdır, ancak gerçekleşme olasılığı göz ardı edilmemiştir.
ASUS WebStorage yazılımı, ortadaki adam saldırılarına (MitM) karşı savunmasızdır.
Yazılımları, yazılım güncellemelerini istemek ve iletmek için HTTP kullanır:
Güncellemeyi indirdikten ve yürütme için hazırlandıktan sonra, yazılım çalıştırılmadan önce gerçekliğini doğrulamayacaktır.
Bu nedenle, güncelleme işlemi saldırganlar tarafından durdurulursa, kötü amaçlı güncellemeler gönderebilirler.
Trend Micro'nun araştırmasına göre, Plead kötü amaçlı yazılımının arkasındaki saldırganlar, savunmasız yönlendiricileri hackliyor ve hatta bunları kötü amaçlı yazılım için C&C sunucuları olarak kullanıyor.
Araştırma, etkilenen kuruluşların çoğunun aynı üretici tarafından yapılmış yönlendiricilere sahip olduğunu ve ayrıca bu yönlendiricilerin yönetim panellerine İnternet'ten erişilebildiğini ortaya çıkardı.
Bu nedenle araştırmacılar, bir yönlendirici aracılığıyla ortadaki adam saldırısının en olası senaryo olduğuna inanıyor.
Yukarıda belirtildiği gibi, ASUS WebStorage yazılımı, güncelleme talep etmek için HTTP kullanır. Özellikle, XML biçiminde bir yanıt gönderen update.asuswebstorage.com sunucusuna bir istek gönderir.
XML yanıtındaki en önemli unsurlar kılavuz ve bağlantıdır. GUID öğesi şu anda mevcut sürümü içerir;
Bağlantı öğesi, güncelleme için indirme URL'sini içerir.
Güncelleme işlemi basittir: yazılım, kurulu sürümün en son sürümden daha eski olup olmadığını kontrol eder;
Öyleyse, Şekil 3'te gösterildiği gibi dosyanın indirilmesini istemek için sağlanan URL'yi kullanır.
Bu nedenle saldırgan, bu iki öğeyi kendi verileriyle değiştirerek güncelleme davranışını tetikleyebilir.
Aşağıdaki gerçek gözlemlenen sahnedir. Şekil 4'te gösterildiği gibi, saldırgan, güvenliği ihlal edilmiş gov.tw etki alanındaki kötü amaçlı dosyaya işaret eden yeni bir URL ekledi.
Şekil 5, tehlikeye atılan yönlendirici aracılığıyla hedefe kötü amaçlı yükleri göndermek için en yaygın olarak kullanılan şemayı göstermektedir.
Konuşlandırılan Plead örneği, ilk aşama indiricisidir.
Yürütüldükten sonra, adı resmi ASUS WebStorage sunucusunu taklit eden sunucudan fav.ico dosyasını indirecektir:
update.asuswebstorage.com.ssmailer.com
İndirilen dosya, PNG biçimindeki resimleri ve kötü amaçlı yazılım tarafından kullanılan verileri içerir. Dosya, PNG verilerinden sonra bulunur.
Şekil 6, kötü amaçlı yazılımın aradığı belirli bayt dizisini (kontrol baytı) gösterir ve ardından verilerin geri kalanının şifresini çözmek için sonraki 512 baytı RC4 şifreleme anahtarı olarak kullanır.
Şifresi çözülen veriler, mutlak dosya adı veya yolu kullanılarak serbest bırakılabilen ve çalıştırılabilen bir Windows PE ikili dosyası içerir:
% APPDATA% \ Microsoft \ Windows \ StartMenu \ Programs \ Startup \ slui.exe% APPDATA% \ Microsoft \ Windows \ StartMenu \ Programs \ Startup \ ctfmon.exe% TEMP% \ DEV.TMPKendini "Başlat Menüsü" başlangıç klasörüne yazarak, kötü amaçlı yazılım kalıcılık kazanabilir - mevcut kullanıcı sistemde her oturum açtığında yüklenecektir.
Serbest bırakılan yürütülebilir dosya, amacı, PE kaynağından kabuk kodunu çözmek ve bellekte yürütmek olan ikinci aşama yükleyicidir.
Bu kabuk kodu, amacı C&C sunucusundan ek bir modül elde etmek ve onu çalıştırmak olan üçüncü düzey DLL'yi yükler. Üçüncü aşama DLL ve indirilen modüller JPCERT tarafından kapsamlı bir şekilde analiz edilir ve blog gönderilerinde ("TSCookie" olarak adlandırılır) yayınlanır.
https://blogs.jpcert.or.jp/en/2018/03/malware-tscooki-7aa0.html
sonuç olarak
Saldırganlar her zaman kötü amaçlı yazılımları daha incelikli bir şekilde dağıtmanın yeni yollarını ararlar.
Dünyanın dört bir yanındaki çeşitli saldırganların giderek artan bir şekilde tedarik zinciri ve ortadaki adam saldırılarını kullandığını gördük.
Bu nedenle, yazılım geliştiricilerinin yalnızca olası izinsiz girişlere karşı ortamlarını kapsamlı bir şekilde izlemelerinin değil, aynı zamanda ürünlerinde ortadaki adam saldırılarına direnebilecek uygun güncelleme mekanizmalarını uygulamalarının da çok önemli olmasının nedeni budur.
Elbette yönlendiricilerin de dikkat etmesi, büyük bir marka seçmeye çalışması gerekiyor, makale hangi marka yönlendiricinin tehlikeye atılabileceğinden bahsetmiyor.
Yazar: Blackbird, yeniden basıldı: https: //www.freebuf.com/column/203563.html