2019-09-06 1. Arka Plan Giriş Son zamanlarda, Yükselen Güvenlik Araştırma Enstitüsü Çin'e yönelik iki APT saldırısını yakaladı; bunlardan biri Çin'deki çeşitli ülkelerin büyükelçiliklerini, diğeri ise bir teknoloji şirketinin yurtdışındaki temsilciliğini hedef aldı. Bir kullanıcı bir oltalama belgesini açtığında, bilgisayar saldırgan tarafından uzaktan kontrol edilir ve bu da bilgisayar sistemi bilgileri, kurulumcular ve disk bilgileri gibi iç gizli verilerin çalınmasına yol açar. APT saldırısının, Pakistan ve Güneydoğu Asya ülkelerine birçok saldırı düzenleyen uluslararası üne sahip "Sidewinder" organizasyonu tarafından başlatıldığı anlaşılmaktadır; ancak son iki APT saldırısı sıkça Çin'e işaret ediyor; biri Ulusal Savunma Bakanlığı Uluslararası Askeri İşbirliği Ofisi'nin Yurtdışı Askeri Güvenlik İşbirliği Merkezi kılığına girmiş ve Çin'deki büyükelçilik ataşelerine sahte davetiyeler göndermiş; Diğeri ise bir teknoloji şirketinin yurtdışı temsilciliğine yapılan saldırıydı; saldırgan sahte bir güvenlik ve gizlilik kılavuzu gönderdi.
Fotoğrafta: Savunma Bakanlığı kılığına girmiş oltalama belgeleri
Yükselen Güvenlik Araştırma Enstitüsü'nün analizine göre, bu iki saldırının hedefleri ve içeriği saldırganların kullandığı teknik yöntemlerden farklı olsa da, hükümet, enerji, askeri, mineraller ve diğer alanlarda gizli bilgileri çalmayı temel amacı olan APT organizasyonu "Sidewinder" ile büyük bir ilişkiye sahip olduğu sonucuna varılmıştır. Saldırı, Çin elçilikleri ve teknoloji şirketleriyle ilgili oltalama e-postalarını yem olarak kullanarak, Office uzaktan kod yürütme açığı (CVE-2017-11882) kullanılarak Çin büyükelçilikleri ve teknoloji şirketleriyle ilgili oltalama e-postalarını göndermek amacıyla ülkemizdeki önemli gizli veriler, gizlilik bilgileri ve bilimsel ve teknolojik araştırma teknolojilerini çalmak amacıyla kullanıldı. 2. Saldırı süreci
Şekil: Saldırı akışı
3. Oltalama e-postalarının analizi (1) Yem belgesi 1. Bir belge, Ulusal Savunma Bakanlığı Uluslararası Askeri İşbirliği Ofisi'nin Yurtdışı Askeri Güvenlik İşbirliği Merkezi tarafından Çin'deki çeşitli ülkelerin büyükelçiliklerinin askeri ataşesine gönderilen bir davet mektubu kılığına alınmıştır.
Şekil: Yem belgesi
(2) Yem belgesi 2'nin içeriği, bir teknoloji şirketinin yurtdışındaki temsilciliğinin güvenlik ve gizlilik çalışma kılavuzunun revizyonuyla ilgilidir.
Şekil: Belge içeriği
(3) Detaylı analiz Her iki aldatıcı belgenin sonunda "Wrapper Shell Object" adlı bir nesne gömülür ve nesne özniteliği, %temp% dizinindeki 1.a dosyasına işaret eder. Doguşu açıldığında, %temp% dizininde JaveScript betikiyle yazılmış 1.a dosyası serbest bırakılır.
Şekil: Nesne özellikleri
Sahte belge daha sonra CVE-2017-11882 güvenlik açığını kullanarak shellcode çalıştırma 1.a'yı tetikler.
Şekil: shellcode
Shellcode süreci şöyledir: XOR 0x12 üzerinden bir JavaScript beşikini şifre çözmek, bu betikin ana işlevi %temp% dizininde 1.a dosyasını çalıştırmaktır.
Şekil: JavaScript script ciphertext
Şekil: Şifresi çözülmüş JavaScript scripti
ShellCode, formül düzenleyicinin komut satırı argümanlarını JavaScript betiklerine dönüştürür ve betiği çalıştırmak için RunHTMLApplication fonksiyonunu kullanır.
Şekil: Komut satırını değiştir
Şekil: JavaScript çalıştırıyor
3. Virüs analizi (1) 1.a Dosya analizi 1.a, açık kaynaklı DotNetToJScript aracı aracılığıyla oluşturulur ve ana işlevi JavaScript script belleği üzerinden .net DLL dosyalarını çalıştırmaktır. Script önce StInstaller.dll dosyasını çözer ve o DLL'deki iş fonksiyonunun yükünü yansıtır. İş fonksiyonu, gelen x (parametre 1) ve y (parametre 2) parametrelerini çözer ve şifre çözdükten sonra x PROPSYS.dll, y ise V1nK38w.tmp olur.
Şekil: 1.a script içeriği
(2) StInstaller.dll dosya analizi StInstaller.dll bir .NET programıdır; bu program, C:\ProgramData\AuthyFiles adlı çalışma dizinini oluşturur ve ardından çalışma dizininde PROPSYS.dll, V1nK38w.tmp ve write.exe.config adlı 3 dosyayı serbest bırakır ve WordPad programını sistem dizinine (write.exe) yerleştirir O dizine kopyala. write.exe (beyaz dosya) çalıştırarak aynı dizinde PROPSYS.dll (siyah dosya) yükleyin ve zararlı kodu beyaz ve siyah ile çalıştırın.
Şekil: çalışma fonksiyonu
Detaylı süreç şunlardır: 1. Çalışma fonksiyonunda xorIt şifre çözme fonksiyonunu çağırarak 3 önemli yapılandırma verisini, yani çalışma dizini AuthyFiles ve alan adını elde edersinizhttps://trans-can.netve kayıt anahtarı adını otomatikleştirin.
Şekil: Şifresi çözülmüş veri
Şekil: xorIt şifre çözme fonksiyonu
2. C:\ProgramData\AuthyFiles adlı bir çalışma dizini oluşturun, sistem dosyalarını write.exe çalışma dizinine kopyalayın ve otomatik başlatma olarak ayarlayın.
Şekil: AuthyFiles ve write.exe Oluşturma
3. Çalışma dizininde rastgele isimli bir dosya V1nK38w.tmp serbest bırakın. 4. Çalışma dizinindeki PROPSYS.dll boşaldın ve dosya V1nK38w.tmp'de programı yüklemek istediğiniz dosyanın adını güncelleyin.
Şekil: Yaratılış PROPSYS.dll
5. Eklenmiş tam URL'yi linkle:https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5Dosyaya V1nK38w.tmp yaz. Dosya daha sonra EncodeData fonksiyonu kullanılarak şifrelenir.
Şekil: V1nK38w.tmp dosyası oluştur
Şekil: EncodeData şifreleme fonksiyonu
6. Farklı .NET sürümleriyle uyumluluk sorunlarını önlemek için write.exe.config bir yapılandırma dosyası oluşturun.
Şekil: Create write.exe.config
Şekil :write.exe.config içeriği
7. C:\ProgramData\AuthyFiles\write.exe çalıştırarak kötü amaçlı PROPSYS.dll çağırın.
Şekil: Yönetici write.exe
(3) PROPSYS.dll dosya analizi, V1nK38w.tmp şifresini çözmek ve çözme sonrası yürütme V1nK38w.tmp yüklemek için DecodeData fonksiyonunu kullanır.
Şekil: Yürütme V1nK38w.tmp yükleniyor
Şekil: DecodeData şifre çözme fonksiyonu
(4) V1nK38w.tmp dosya analizi V1Nk38w.tmp esas olarak büyük miktarda bilgi çalmak ve uygulama talimatları almak.
Şekil: Ana davranış
1. Kaynak içinde varsayılan olarak çözülen ilk yapılandırmayı yükleyin. Yapılandırma içeriği, URL, yüklenen dosyanın geçici dizini ve belirtilen dosya ekinin çalınmasıdır (doc, docx, xls, xlsx, pdf, pptx).
Şekil: Yükleme konfigürasyonu
Şekil: Şifresi Çözülmüş Varsayılan kaynak bilgileri
2. Yapılandırma, EncodeData fonksiyonu kullanılarak şifrelenir ve HKCU\Sotfware\Authy kayıt defterinde saklanır.
Şekil: Kayıt defterinde şifrelenmiş yapılandırma bilgileri
3. Dosyayı indirmek için belirtilen adresi ziyaret edin ve önce yapılandırma bilgilerinden URL'yi seçin, eğer değilse, varsayılan URL'yi seçin:https://trans-can.net/ini/thxqfL ... Mvr/-1/1291/f8ad26b。
Şekil: Verileri indir
4. Çalınan bilgileri bir dosyaya entegre edin, dosya isimlendirilir: rastgele dizi + özel ek ve veri içeriği geçici dizinde açık metin olarak saklanır.
Fotoğrafta: Bilgi dosyalarını çalmak
.sif ekli dosyalar genellikle sistem bilgilerini, kurulumcu bilgilerini, disk bilgilerini vb. saklar.
Şekil: .sif ekiyle depolanan bilgiler
Elde edilen sistem bilgileri aşağıdaki gibidir:
Ek eki .fls'dir.
Tablo: Bilgi kaydı
Şekil: .fls eki için depolama bilgileri
.flc ekli bir dosya, tüm sürücü harflerinin bilgilerini ve sürücü harfinin altındaki dizin ve dosya bilgilerini kaydeder. Aşağıdaki tablo, saldırganın almak istediği sürücü harfi bilgilerini gösterir:
Saldırganın elde etmek istediği dizin bilgileri aşağıdaki gibidir:
Saldırganın elde etmek istediği dosya bilgileri şu şekildedir:
Program yürütmedeki istisnaları yakalar ve istisna bilgilerini .err ekli bir dosyaya kaydeder.
Şekil: İstisna yakalama
5. Kayıt defterinde depolanan yapılandırma verilerini güncelleyin: Öncelikle, belirli bir ek ekiyle aynı eke sahip dosyaları bulmak için sistemi dolaşın, ardından HKCU\Sotfware\Authy kayıt defterinden yapılandırma verilerini okuyup şifre edin, bulunan dosyaların adını ve yolunu yapılandırma verilerine ekleyin ve son olarak kayıt defterinin saklanmasına devam etmek için yapılandırma bilgilerini şifreleyin.
Şekil: Belirli bir ek dosyası bulun
Şekil: Yüklenecek belgenin yolunu kaydet
Şekil: Belirli bir eki belge yükle
6. Kayıt defterinde depolanan yapılandırma verilerini güncelleyin: Yüklenen dosyanın bilgilerini kayıt yapı verilerine güncelledin.
Şekil: Kayıt defterindeki şifresi çözülmüş yapılandırma bilgileri
7. Kayıt defterinin yapılandırma bilgilerinde kaydedilen belirli ek dosyasının tüm veri içeriğini sıkıştırıp yükleyin.
Şekil: Bir ekek dosyası yükle
8. Sif, flc, err ve fls ekleriyle dosyaları aşamalama dizinine yükleyin.
Şekil: Dosya yükleme
4. Özet
İki saldırı çok uzun sürmedi ve saldırıların hedefleri hem hassas bölgelere hem de Çin'deki ilgili kurumlara yöneldi; saldırının amacı esas olarak organizasyon içindeki özel bilgileri çalmak ve hedefli bir sonraki saldırı planı oluşturmaktı. Son zamanlarda ortaya çıkan Sidewinder saldırılarının çoğu Pakistan ve Güneydoğu Asya ülkelerini hedef aldı, ancak bu iki saldırı Çin'i hedef aldı; bu da grubun saldırı hedeflerinin değiştiğini ve Çin'e yönelik saldırılarını artırdığını gösteriyor. Bu yıl, ülkemizin kuruluşunun 70. yıldönümüyle örtüşüyor ve ilgili yerel devlet kurumları ile işletmeler buna büyük önem vermeli ve önleyici önlemleri güçlendirmelidir.
5. Önleyici önlemler
1. Şüpheli e-postaları açmayın veya şüpheli ekler indirmeyin. Bu tür saldırıların ilk girişi genellikle oltalama e-postalarıdır; bu e-postalar çok kafa karıştırıcıdır, bu yüzden kullanıcılar dikkatli olmalı ve işletmeler çalışan ağ güvenliği farkındalık eğitimini güçlendirmelidir.
2. Ağ güvenliği, durum farkındalığı ve erken uyarı sistemleri gibi geçit güvenlik ürünlerini dağıtın. Gateway güvenlik ürünleri, tehdit davranışlarının yolunu izlemek, kullanıcıların tehdit davranışlarını analiz etmesi, tehdit kaynaklarını ve amaçlarını bulmasına, saldırıların araçlarını ve yollarını takip etmeye, ağ tehditlerini kaynağından çözmeye ve saldırıya uğrayan düğümleri en büyük ölçüde keşfetmek için tehdit istihbaratını kullanabilir; böylece işletmelerin daha hızlı yanıt vermesine ve onlarla başa çıkmasına yardımcı olur.
3. Zararlı belgeleri ve Truva virüslerini engellemek ve öldürmek için etkili antivirüs yazılımı yükleyin. Kullanıcı yanlışlıkla kötü amaçlı bir belge indirirse, antivirüs yazılımı onu engelleyebilir ve virüsün çalışmasını engelleyebilir ve kullanıcının terminal güvenliğini koruyabilir.
4. Sistem yamalarını ve önemli yazılım yamalarını zamanında yamalayın.
6. IOC bilgileri
MD5
D83B3586393CAB724519B27B9857A4B237166FA93D776147E545AAD7E30B41608FD10BD711AB374E8DE9841CF8824758D4C3963B11E1732E1419ADF5F404E50C58DE7C0DF5BD677E1A3CDC099019015DA94BE8863E607DC7988F34F9073099168444A5850EEBA282 4D7C9BAD9189FF7E
url
https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5https://trans-can.net/ini/Wsx8Gb ... 31878/1346/cab43a7f
|
Yayınlandı 21.09.2019 09:15:59
|
|
|
