16.8 C
İstanbul
15/04/2024
Image default
Global Zararlı Analizi RaporlarıHaberlerSiber SaldırılarVeri SızıntılarıZararlı Yazılım Analizleri

Federal Agency Compromised by Malicious Cyber Actor – Analiz Raporu (AR20-268A)

CISA (Cybersecurity and Infrastructure Security Agency) tarafından yakın zamanda bir tehdit aktörünün federal bir kurumun kurumsal ağına yaptığı siber saldırı ile ilgili bir analiz raporu yayınlandı.

Tehdit aktörü, daha önce ele geçirilen kimlik bilgilerinden yararlanarak kurum ağına güvenlik ürünlerini de atlatmayı başarabilen komplike bir zararlı yazılım yerleştirdi ve kurumun güvenlik duvarında bulunan bir zafiyeti istismar ederek tersine soket güvenlikli (Socket Secure) vekilleri aracılığıyla kalıcı erişim elde etti.

CISA, federal ağları izleyen saldırı tespit sistemi “EINSTEIN” aracılığıyla, bir federal kurum ağının olası bir tehlikesinin farkına vardı. CISA, olaydan etkilenen firma ile bir olay müdahale anlaşması gerçekleştirdi. Aşağıdaki bilgiler, yalnız olay müdahale görevinden elde edilmiş ve tehdit aktörüne ait taktikleri, teknikleri ve prosedürlerini ve ayrıca CISA’nın görevin bir parçası olarak gözlemlediği uzlaşma göstergelerini içermektedir.

Tehdit Aktörü Aktivitesi

Tehdit aktörü, birden çok kullanıcının Microsoft Office 365 (O365) hesapları ve domain yöneticisi hesapları için doğrulanmış / geçerli kimlik bilgilerine (Valid Accounts [T1078]) sahip olduğu doğrulandı. Bu bilgiler olaydan etkilenen kurumun ağına ilk erişim (Initial Access [TA0001]) için kullanıldı.

Tehdit aktörünün önce 91.219.236[.]166 adresinden bir kullanıcının O365 hesabında oturum açtığı ve ardından bir Sharepoint sitesindeki sayfalara göz attığı ve bir dosya indirdiği tespit edildi. (Data from Information Repositories: SharePoint [T1213.002]) Aktörün 185.86.151[.]223 IP adresinden hedef kurumun VPN sunucusuna birçok kez bağlandığı gözlemlenmiştir. (Exploit Public-Facing Application [T1190]).

CISA analistleri, tehdit aktörünün başlangıçta kimlik bilgilerinin nasıl elde ettiğini belirleyemedi. Aktörün, Pulse Secure uygulamasında (Exploitation for Credential Access [T1212]) bilinen bir güvenlik açığından (CVE-2019-11510) yararlanarak kimlik bilgilerini güncellemesi yapılmamış bir VPN sunucusundan almış olmasının olası olduğunu belirttiler. Nisan 2019’da Pulse Secure, şifreler dahil olmak üzere dosyaların uzaktan, kimlik doğrulaması yapılmadan alınmasına olanak tanıyan CVE-2019-11510 dahil olmak üzere çeşitli kritik güvenlik açıkları için güncellemeler yayınladı [1]. CISA, federal hükümet genelinde CVE-2019-11510’un geniş çapta kullanıldığını gözlemledi [2].

İlk erişim sonrasında tehdit aktörü 91.219.236[.]166 adresinden kurum O365 e-posta hesabına giriş yaparak ve hali hazırda ayrıcalıklı / yetkili hesap erişimi bulunmasına rağmen (Email Collection [T1114], Unsecured Credentials: Credentials In Files [T1552.001]), “Intranet erişimi” ve “VPN şifreleri” bulunan yardım masası e-posta eklerini görüntüleyip indirerek bir keşif gerçekleştirdi (Discovery [TA0007]. Bu e-postaların herhangi bir şifre içermediği de kaydedildi.

Aktör, 207.220.1[.]3 IP adresinden RDP aracılığıyla aynı e-posta hesabında oturum açtı (External Remote Services [T1133]). Active Directory ve Grup Politikası anahtarlarını sıralayarak grup politikası için bir kayıt defteri anahtarını değiştirdi (Account Manipulation [T1098]). Bu işlemin ardından tehdit aktörü, güvenliği ihlal edilen sistemi ve ağ içerisinde çeşitli keşifler için yayın olan Microsoft Windows komut satırı işlemlerini (conhost, ipconfig, net, query, netstat, ping, whoami, plink.exe) kullandı (Command and Scripting Interpreter [T1059], System Network Configuration Discovery [T1016]).

Tehdit aktörü daha sonra birden çok kez SMB istemcisi (client) aracılığı ile VPS (virtual priate server) IP’si olan 185.86.151 [.] 223 adresine bağlanmaya çalıştı. Birden çok bağlanıp bağlantısı kesilmiş olsa da sonuç olarak bağlantıların başarılı olduğu görüldü. Aktör, bir SMB paylaşımı aracılığı ile VPS IP’sinde oturum açmak için daha önce oluşturmuş olduğu bir hesap kullandı. Saldırganın daha sonras hedef dosya sunucusunda plink.exe’yi çalıştırdığı görüldü (Command and Scripting Interpreter [T1059]). (plink.exe, uzaktan yönetim için kullanılan Putty’nin komut satırıdır.)

Tehdit aktörü, hedef ağda kalıcılık ve komuta kontrol sağlamak amacıyla aşağıdaki işlemleri yaptı (Persistence [TA0003] and Command and Control [TA0011]).

  • Kalıcı bir SSH tunnel / Reverse SOCKS Proxy oluşturma
  • İnetinfo.exe’yi çalıştırmak (dosyaları bırakmak için kullanılan benzersiz, çok aşamalı bir kötü amaçlı yazılım)
  • 78.27.70[.]237 IP adresi üzerinde yerel olarak takılmış bir uzak paylaşım kurma (Proxy [T1090])

Mount edilen dosya paylaşımı, aktörün işlemleri sırasında serbest şekilde hareket etmesine izin verirken, adli analiz çalışmaları için daha az iz bırakmasını sağladı.

  • Hedef sunucudaki dizinlere göz atmak (Data from Shared Network Drive [T1039]).
  • Bir kullanıcının ana dizinindeki (user’s home) bir dosyayı yerel olarak takılmış bir uzak paylaşıma kopyalama (Data Staged [T1074]).
    • CISA analistleri, tehdit aktörünün kullanıcıların ana dizinindeki diğer dosyalar ile etkileşim kurduğunu da tespit etti ancak bu dosyaların dışarı sızdırılıp sızdırılmadığını doğrulayamadı.
  • Tehdit aktörü tarafından kontrol edilen VPS ile hedef kuruluşun dosya sunucusu arasında bağlantıya izin veren tersine SMB SOCKS Proxy oluşturmak (Proxy [T1090]).
  • Powershell modülü Invoke-TmpDavFS.psm ile etkileşim
  • Tsclient kullanarak bir hesaba ait dizinden ve dosya sunucusundan verileri çıkartmak (tsclient: Microsoft Windows Terminal Hizmetleri istemcisi) (Data from Local System [T1005], Data from Network Shared Drive [T1039]).
  • İçerisinde birkaç dosya ve dizin barındıran iki sıkıştırılmış zip dosyası oluşturma (Archive Collected Data [T1560]).  Tehdit aktörünün bu zip dosyalarını sızdırmış olması muhtemel gözükmektedir; ancak, aktör kendi aktivitelerini gizlediği için doğrulanamadı.

Tehdit aktörünün taktik ve tekniklerinin sırası için Resim 1’i inceleyebilirsiniz.

Resim 1: Tehdit Aktörüne ait Teknik ve Taktikler

Tehdit Aktörünün Kullandığı Zararlı

Tehdit aktörü, yönetici olarak oturum açmış olduğu sırada kalıcı bir SSH tüneli oluşturmak ve tersine SOCKS Proxy kullanmak için uyumlu olarak çalışan iki zamanlanmış görev oluşturdu. Proxy, saldırgan tarafından kontrol edilen bir uzak sunucu ile hedef kuruluşun dosya sunucularından biri arasındaki bağlantıları sağladı (Scheduled Task/Job [T1053], Proxy [T1090]). Tersine SOCKS Proxy, 8100 portu üzerinden iletişim kurdu (Non-Standard Port [T1571]). Bu bağlantı noktası normalde kapalı olan bir port olmasına rağmen, aktörün kullanmış olduğu zararlı yazılım tarafından açıldı.

Resim 2: SSH tünelini oluşturan ve tersine SOCKS Proxy ile alakalı zamanlanmış görevler
Dropper Malware: inetinfo.exe

Tehdit aktörü, inetinfo.exe’yi çalıştırmak için zamanlanmış bir görev oluşturmuştur.  (Scheduled Task/Job [T1053]). Inetinfo.exe, Resim 3’de gözüktüğü üzere dosyaları sisteme bırakmak için kullanılan eşsiz, çok aşamalı bir kötü amaçlı yazılımdır. Bu yazılım, “system.dll”, “363691858” dosyalarını ve inetinfo.exe dosyasının ikinci bir kopyasını oluşturdu. Inetinfo.exe’nin ikinci örneğindeki “system.dll” dosyası, inetinfo.exe’nin ilk örneğinden “363691858” dosyasının şifresini çözerek binary olarak kaydetti. Şifresi çözülen dosya, yerel olarak adlandırılmış bir tünel oluşturmak ve ona bağlanmak için inetinfo.exe’nin ikinci örneğine enjekte oldu. Enjekte olan dosya daha sonrasında, “185.142.236[.]198” IP adresi ile bağlantı kurarak bellek üzerinde bir shellcode çalıştırdı. Böylelikle sisteme bir payload indirildi ve çalıştırıldı.

Resim 3: inetinfo.exe

Tehdit aktörü, kurumun kötü amaçlı yazılımlardan korunmak için kullandığı güvenlik ürünlerini atlatmayı başardı ve böylelikle inetinfo.exe hiçbir şekilde karantinaya alınmaktan kaçmış oldu. CISA analistleri, tehdit aktörünün güvenlik ürününe ait yazılım lisans anahtarına ve kurulum kılavuzuna kadar eriştiği ve ardından ürün tarafından geçici dosya analizi için kullanılan bölümü incelediğini belirtti. Bu bölüme erişen tehdit aktörü, inetinfo.exe’yi hiçbir sorun ile karşılaşmadan çalıştırabildi (Impair Defenses: Disable or Modify Tools [T1562.001]).

Tersine SMB SOCKS Proxy

Powershell betiği (script) HardwareEnumeration.ps1, saldırgan tarafından kontrol edilen VPS IP’si 185.193.127[.]18 ile 443 portu üzerinden hedef kurumun dosya sunucusu arasında bağlantıyı sağlayan tersine SMB SOCKS proxy’si oluşturdu  (Command and Scripting Interpreter: Power Shell [T1059.001], Proxy [T1090]). Bu betik zamanlanmış görev olarak eklenerek günlük olarak çalıştırıldı  (Scheduled Task/Job [T1053]).

HardwareEnumeration.ps1, Github’daki bir güvenlik araştırmacısı tarafından oluşturulan ve dağıtılan ücretsiz bir araç olan InvokeSocksProxy.ps1 dosyasının bir kopyasıdır [3]. Invoke-SocksProxy.ps1, SMB TCP portu 445 aracılığıyla yerel makineden saldırgan altyapısına ters bir Proxy oluşturmaktadır (Non-Standard Port [T1571]). Komut dosyası büyük olasılıkla tehdit aktörünün yapılandırma ihtiyaçlarına göre değiştirildi.

Powershell Modülü: invoke-TmpDavFS.psm

Invoke-TmpDavFS.psm, bir dosya sistemi olarak monte edilebilen ve TCP 443 ve 80 portları üzerinden iletişim kuran bir WebDAV (Web Distributed Authoring and Versioning) sunucusu oluşturan powershell modülüdür. Github üzerinden elde edilebilmektedir [4].

Çözümler

IOC Bilgileri:

CISA analistleri, özetlenen saldırının birçok aşamasında yer alan birkaç IP adresini tespit etti.

  • 185.86.151[.]223 – Command and Control (C2)
  • 91.219.236[.]166 – C2
  • 207.220.1[.]3 – C2
  • 78.27.70[.]237 – Data Exfiltration
  • 185.193.127[.]18 – Persistence
Olağandışı Aktiviteler için Ağ Trafiğini İzleme

CISA, kuruluşların aşağıdaki olağandışı aktiviteler için ağ trafiğini izlemelerini önermektedir.

  • Çok kullanılmayan portlar (e.g., port 8100)
  • Yüksek boyutlu dosyalar
  • Beklenmedik ve onaylanmamış protokoller, özellikle internete çıkış yapan (SSH, SMB, RDP gibi)

Eğer yukarıdaki herhangi bir faaliyet ile karşılaşılır ise, ilgili ekipler tarafından incelenmesi gerekmektedir.

Korunma Yöntemleri:

CISA, kurumların bu raporda tanımlanan faaliyetlere karşı koruma sağlamak için aşağıdaki önerilerin uygulanmasını tavsiye etmektedir.

  • Kurumsal bir güvenlik duvarı kullanılması
  • Kullanılmayan portların engellenmesi

Ek Öneriler:

  • CISA, kurumların aşağıdaki durumların da uygulanmasını önermektedir.
  • Özellikle ayrıcalıklı hesaplar için çok faktörlü kimlik doğrulama uygulanmalıdır.
  • Ayrı yönetim iş istasyonlarında ayrı yönetici hesapları kullanılmalıdır.
  • Veri erişiminde en az ayrıcalık ilkesi uygulanmalıdır.
  • Erişim için çok faktörlü kimlik doğrulama ve atlama kutuları (jump boxes) kullanarak RDP ve diğer uzaktan erişim çözümleri güvenli hale getirilmelidir.
  • Tüm istemci ve sunucularda uç nokta güvenlik ürünlerini ajanlarının dağıtılması sağlanmalıdır.
  • Tüm yazılımlar güncel tutulmalıdır.

Referanslar

[1] Pulse Secure Security Advisory SA44101 Out-of-Cycle Advisory: Multiple vuln…

[2] CISA Alert AA20-010A: Continued Exploitation of Pulse Secure VPN Vulnerabil…

[3] GitHub Repository for Invoke-SocksProxy

[4] GitHub Repository for Invoke-TmpDavFS

Related posts

TA551 (Shathak) IcedID Aktiviteleri

Mustafa Okay Maktav

TYCOON RANSOMWARE!

Mustafa Okay Maktav

IcedID(Bokbot) ZARARLI YAZILIMI

Mustafa Okay Maktav

Bu web sitesi, kullanıcı deneyimini iyileştirmek amacıyla çerezler kullanmaktadır. Kabul Et Daha Fazlası