31.8 C
İstanbul
16/07/2024
Image default
Global Zararlı Analizi RaporlarıHaberlerZararlı Yazılım Analizleri

Kötü Amaçlı Yazılım Analiz Raporu (AR20-232A)

Bu Kötü Amaçlı Yazılım Analiz Raporu (MAR), Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ile Federal Araştırma Bürosu (FBI) arasındaki analitik araştırmaların sonucudur. ABD Hükümeti ortaklarıyla birlikte çalışan DHS ve FBI, Kuzey Kore hükümeti tarafından kullanılan Uzaktan Erişim Truva Atı (RAT) kötü amaçlı yazılım çeşitlerini belirledi. Bu kötü amaçlı yazılım varyantı BLINDINGCAN olarak tanımlandı. ABD Hükümeti, Kuzey Kore hükümeti tarafından HIDDEN COBRA olarak adlandırılan kötü niyetli siber faaliyetlere atıfta bulunmaktadır. 

FBI, HIDDEN COBRA aktörlerinin, kurbanların ağlarında varlığını sürdürmek ve bu ağlardan daha fazla faydalanmak için proxy sunucuları ile birlikte kötü amaçlı yazılım varyantlarını kullandığına dair tespitler mevcuttur. Kuzey Kore ile bağlantısı olan bir tehdit grubu, bu yılın başlarında önemli askeri ve enerji teknolojilerini çevreleyen istihbaratı toplamak için hükümet ve şirketleri hedef almıştır. Bu kampanyada kullanılan kötü niyetli belgeler, önde gelen savunma şirketlerinin iş ilanlarını yem olarak kullandı ve bir kurbanın sistemine bir veri toplama implantı yerleştirdi. Bu kampanya, komuta ve kontrol (C2) altyapısını barındırmak ve implantları bir kurbanın sistemine dağıtmak için birden fazla ülkeden risk altındaki altyapıları kullandı. CISA ve FBI, ağ savunmasını sağlamak ve Kuzey Kore hükümetinin kötü niyetli siber faaliyetlerine maruz kalmayı azaltmak için bu MAR’ı dağıtmaktadır.

CISA, dört Microsoft Word Açık Genişletilebilir Biçimlendirme Dili (XML) belgesi (.docx), iki Dinamik Bağlantı Kitaplığı (DLL) aldı. Docx uzantılı dosyaları, indirme için harici etki alanlarına bağlanmaya çalışır 32 bit ve 64 bit “iconcache.db”  isimli DLL gönderildi.DLL “iconcache.db”, Hidden Cobra RAT’ın bir varyantını açar ve çalıştırır. Bu varyant, kurbanın sisteminde uzaktan yapılacak işlemler için çeşitli yetenekler sağlayan gömülü fonksiyonlar içerir.

 IOC :

  • 0fc12e03ee93d19003b2dd7117a66a3da03bd6177ac6eb396ed52a40be913db6 (0FC12E03EE93D19003B2DD7117A66A …)
  • 158ddb85611b4784b6f5ca7181936b86eb0ec9a3c67562b1d57badd7b7ec2d17 (2_7955fa7ab32773d17e0e94efeea6 …)
  • 586d012540ed1244572906e3733a0cb4bba90a320da82f853e5dfac82c5c663e (1_6cea7290883f0527dbd3e2df6446 …)
  • 6a3446b8a47f0ab4f536015218b22653fff8b18c595fbc5b0c09d857eba7c7a1 (4_e7aa0237fc3db67a96ebd877806a …)
  • 7933716892e0d6053057f5f2df0ccadf5b06dc739fea79ee533dd0cec98ca971 (3_56470e113479eacda081c2eeead1 …)
  • d40ad4cd39350d718e189adf45703eb3a3935a7cf8062c20c663bc14d28f78c9 (D40AD4CD39350D718E189ADF45703E …)

Ek dosyalar:

  • 58027c80c6502327863ddca28c31d352e5707f5903340b9e6ccc0997fcb9631d (58027c80c6502327863ddca28c31d3 …)
  • 7d507281e2e21476ff1af492ad9f574b14cbf77eb4cda9b67e4256318c7c6bbd (7d507281e2e21476ff1af492ad9f57 …)
  • 8b53b519623b56ab746fdaf14d3eb402e6fa515cde2113a07f5a3b4050e98050 (8b53b519623b56ab746fdaf14d3eb4 …)
  • b70e66d387e42f5f04b69b9eb15306036702ab8a50b16f5403289b5388292db9 (iconcache.db)
  • bdfd16dc53f5c63da0b68df71c6e61bad300e59fd5748991a6b6a3650f01f9a1 (e7718609577c6e34221b03de7e959a …)
  • d5186efd8502a3a99a66729cb847d3f4be8937a3fec1c2655b6ea81f57a314f5 (iconcache.db)

Alan isimleri:

  • agarwalpropertyconsultants.com
  • anca-aste.it
  • automercado.co.cr
  • curiofirenze.com

 IP adresleri:

  • 192.99.20.39
  • 199.79.63.24
  • 51.68.152.96
  • 54.241.91.49

Bulgular:

Resim 1: bdfd16dc53f5c63da0b68df71c6e61bad300e59fd5748991a6b6a3650f01f9a1
Resim 2: Antivirüs

Resim 3: Yara Kuralları

Resim 4: MD5

Açıklama:

Bu uygulama, paketinden çıkarılmış ve “b70e66d387e42f5f04b69b9eb15306036702ab8a50b16f5403289b5388292db9” tarafından çalıştırılan kötü amaçlı bir 32-bit DLL’dir. Bu ikili, bir Hidden Kobra RAT varyantı olarak tanımlanmıştır. Bu dosya, gömülü biçimde verilerini (2704 bayt) içerir. Verinin şifresi, bir XOR şifresi kullanılarak kodu çözülmeden önce sabit kodlanmış bir AES “XEUFC1L3DF3C2ROU” şifre çözme anahtarı kullanılarak çözülür.

Resim 5: 7d507281e2e21476ff1af492ad9f574b14cbf77eb4cda9b67e4256318c7c6bbd

Resim 6: MD5

Açıklama:

Bu uygulama, paketinden çıkarılmış ve “b70e66d387e42f5f04b69b9eb15306036702ab8a50b16f5403289b5388292db9” tarafından çalıştırılan 32 bitlik bir DLL’dir. Bu dosya, işlem sırasında yüklenen “C: \ ProgramData \ iconcache.db” DLL dosyasının eşlemesini kaldırmak için tasarlanmıştır. Daha fazla bulgu için  https://us-cert.cisa.gov/ncas/analysis-reports/ar20-232a  adresinden inceleyebilirsiniz.

Öneriler:

CISA, kullanıcıların ve yöneticilerin, kurumların sistemlerinin güvenlik durumunu güçlendirmek için aşağıdaki uygulamaları kullanmaları önerilmiştir. İstenmeyen olayları önlemek için, herhangi bir yapılandırma değişikliği, uygulama öncesinde sistem sahipleri ve yöneticiler tarafından incelenmelidir.

  • Antivirüs yazılımlarını ve veri tabanını güncel tutun.
  • İşletim sistemi yamalarını güncel tutun.
  • Dosya ve Yazıcı paylaşım hizmetlerini devre dışı bırakın. Bu hizmetler gerekliyse, güçlü parolalar veya Active Directory kimlik doğrulaması kullanın.
  • Kullanıcıların istenmeyen yazılım uygulamalarını yükleme ve çalıştırma yeteneklerini (izinleri) kısıtlayın. Gerekmedikçe yerel yöneticiler grubuna kullanıcı eklemeyin.
  • Güçlü bir parola politikası uygulayın ve düzenli parola değişiklikleri uygulayın.
  • E-posta eklerini açarken, ek bekleniyorsa ve gönderen biliniyor gibi görünse bile dikkatli olun.
  • İstenmeyen bağlantı isteklerini reddedecek şekilde yapılandırılmış,  iş istasyonlarında kişisel bir güvenlik duvarını etkinleştirin.
  • İş istasyonlarında ve sunucularında gereksiz hizmetleri devre dışı bırakın.
  • Şüpheli e-posta eklerini tarayın ve kaldırın; taranan ekin “gerçek dosya türü” olduğundan emin olun (yani, uzantı dosya başlığıyla eşleşir).
  • Kullanıcıların web’de gezinme alışkanlıklarını izleyin; olumsuz içeriğe sahip sitelere erişimi kısıtlayın.
  • Çıkarılabilir medya (örn. USB flash sürücüler, harici sürücüler, CD’ler vb.) Kullanırken dikkatli olun.
  • Çalıştırmadan önce internetten indirilen tüm yazılımları tarayın.
  • En son tehditlere ilişkin durumsal farkındalığı sürdürün ve uygun Erişim Kontrol Listeleri (ACL’ler) uygulayın.
  • Kötü amaçlı yazılım olaylarını önleme ve işleme hakkında ek bilgiler Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Özel Yayını 800-83, “Masaüstü Bilgisayarlar ve Dizüstü Bilgisayarlar için Kötü Amaçlı Yazılım Olaylarını Önleme ve İşleme Kılavuzu” içerisinde bulunabilir.

Kaynaklar:

Kaynak 1:https://us-cert.cisa.gov/ncas/analysis-reports/ar20-232a

Kaynak 2: https://www.bgasecurity.com/2015/11/zararl-yazlm-analiz-ve-tespi/

Kaynak 3: https://support.microsoft.com/tr-tr/help/815065/what-is-a-dll

Related posts

Türk Bankacılık Sektörünü hedef alan ThiefBot!

Serdar H.

Yeni ve Yeniden ZLoader

Mustafa Okay Maktav

TEAM VIEWER ZAAFİYETİ CVE 2020-13699

Mustafa Okay Maktav

Bu web sitesi, kullanıcı deneyimini iyileştirmek amacıyla çerezler kullanmaktadır. Kabul Et Daha Fazlası