16.8 C
İstanbul
15/04/2024
Image default
Güncel ZafiyetlerHaberlerVeri SızıntılarıZararlı Yazılım Analizleri

DarkIRC WebLogic Zaafiyetini Kullanıyor

Juniper Labs tarafından yapılan araştırmada, CVE-2020-14882 Kodlu Oracle WebLogic zaafiyetinin sömürüldüğü zararlı yazılım detayları paylaşılmıştır. Bu işlem sayesinde uzaktan kod çalıştırma aktivitesi gerçekleştirilebilmek mümkün olmaktadır. Shodan kullanılarak gerçekleştirilen taramada, bu yazılımı kullanan 3109 sunucu bulunduğu tespit edilmiştir. Yapılan incelemede bu zaafiyeti sömüren en 5 farklı varyant tespit edilmiştir. Bu yazıda DarkIRC varyasyonu ele alınacaktır.

DarkIRC

Siber atak WebLogic sunucusuna yapılan HTTP Get isteğiyle başlamaktadır. “cnc[.]c25e6559668942[.]xyz” domain adresinde host edilen bir binary dosyası, powershell komutu kullanılarak indirilmekte ve çalıştırılmaktadır. Kaynak adresinin IP değeri 83.97.20[.]90 olarak görülmektedir. Bu adres aynı zaman saldırıyı gerçekleştiren kişinin yani C&C adresinin IP’sini çözmektedir. Kullanılan payload 6 MB boyutundadır. Hash değeri aşağıdaki gibidir:

MD5 :ee2827f203e4c37c4e34ecd462ee26ba

Resim 1: GET Komutu ve Gerçekleştirilen İstek
Resim 2: DarkIRC Versiyonu

Cyrpter ve Yapısı

İlgili parçanın kendine has savunma yöntemleri bulunmaktadır. Bu yöntemler, özellikle Sandboxlar gibi zararlı yazılım analizi ve tespit araçlarından gizlenmek üzerinedir. Süreçlerini sağlıklı şekilde ilerletebilmek sanal işletim sistemleri taraması gerçekleştirmektedir. Keşif aşamasında tespit edebildiği ürünler aşağıdaki gibidir:

  • VMware
  • VirtualBox
  • VBox
  • QEMU
  • Xen
Resim 3: Ortam Keşfi Çalışması

Eğer sanal bir ortamda olmadığını tespit ederse enkript halde bir dosya indirme işlemi gerçekleştirmektedir. Ardından dosya dekript edilmektedir ve asıl zararlı yazılım karşımıza çıkmaktadır.

Resim 4: DarkIRC Fonksiyonları

Bot Fonksiyonları

Bot, kendini %APPDATA%\Chrome\Chrome.exe dosya yoluna kaydeder ve Autorun entry değeri oluşturur. Bu botun özellikleri arasında Web Tarayıcısı verileri çalmak, keylogging, bitcoin çalmak, dosya indirmek, ilgili sistemlerde yayılabilmek, komut çalıştırmak ve aralarında Slowloris, TCP/UDP/HTTP/Syn Flood gibi çeşitlerin de bulunduğu DDOS aktiviteleri gerçekleştirme kabiliyetleri bulunmaktadır.

Bitcoin Clipper

Bu özelliği sayesindede bitcoin adresi saldırıyı gerçekleştiren kişinin bitcoin adresi olarak ayarlanabilmektedir.

Resim 5: Clipper Çalışma Şekli

Malware Operatörü tarafından işaret edilen bitcoin adresi 3QRwJwLRFDBoeLZ2cToGUsdBGB3eqj3exH şeklindedir. Bu adres, C&C adresine XOR ekript metodunu kullanarak IRC ile bağlanmaktadır.

Resim 6: C&C Bağlantısı

Command and Control DGA

Yazılımın bir diğer önemli özelliği domain adresi üretebilmesidir. CnC adresi oluşturmak için bitcoin cüzdan değerini hashler ve ilk 14 hanesini kullanır.

  • cnc .<generated hash[:14].xyz>
  • At its current value, the resulting domain will be:
    • cnc[dot]c25e6559668942.xyz
Resim 7: DGA Fonksiyonu

Yapılan URL isteği json formatında bir string ifadesine dönüştürülür ve içinde “sent” ibaresiyle cüzdandan gönderilecek miktar belirtilir.

Resim 8: Sent Değeri

Sonuç

CVE-2020-14882 kodlu zaafiyetin giderilmesi için yama geçilmesi oldukça önemlidir. Gün geçtikçe yeni versiyonlar çıkmaktadır. Aşağıda elde edilen IoC değerleri paylaşılmıştır:

IoC TipiIoC Değeri
Bitcoin Adresi3QRwJwLRFDBoeLZ2cToGUsdBGB3eqj3exH
Hostnamecnc.c25e6559668942.xyz
IP Adresi45.77.178[.]169
IP Adresi83.97.20[.]90
IP Adresi185.65.134[.]178
IP Adresi139.180.194[.]87
IP Adresi159.69.66[.]124
CVECVE-2020-14882
MD5848bb49d6dec4fa7add65c0e6377ea77
MD5ee2827f203e4c37c4e34ecd462ee26ba
Domain22os.name
URL Adresihxxp://159.69.66[.]124/bo;perl
URL Adresihxxp://139.180.194[.]87:2233/LkQT.

Kaynak

Related posts

WordPress File Manager RCE Vulnerability (CVE-2020-25213)

Mustafa Okay Maktav

ZeroLogon (CVE-2020-1472)

Serdar H.

Telecom Argentina’dan fidye talep edildi!

Serdar H.

Bu web sitesi, kullanıcı deneyimini iyileştirmek amacıyla çerezler kullanmaktadır. Kabul Et Daha Fazlası