Tam Cymru araştırmacıları yakın zamanda, QakBot’un komuta ve kontrol altyapısını sürekli izlemelerinden kayda değer kalıplar ve usulsüzlükler ortaya çıkardılar.
Araştırmacılar, bulgularla ilgili üst düzey içgörüler paylaşarak, QakBot ile ilgili ortaya çıkan trendlere ve sıra dışı faaliyetlere ışık tuttu.
Kurbana dönük C2 sunucularından giden bağlantıları analiz etmek, genellikle belirli bir yönetim bağlantı noktası kullanan ve uzun süreli devam eden etkileşimleri sürdüren ortak eşlerle iletişim kalıpları aracılığıyla Katman 2 altyapısını ortaya çıkarır.
Tipik olarak, iletişim için belirli bir yönetim bağlantı noktası kullanılır ve bu etkileşimler çoğu durumda uzun süreler devam etme eğilimindedir. Özel bir yönetim bağlantı noktasının kullanılması, tutarlı ve uzun süreli iletişim sağlar.
QakBot Kötü Amaçlı Yazılım C2 Altyapısı
Araştırmacılar, Tier 2 (T2) yönetim katmanını başarılı bir şekilde tanımlayarak, bu T2 katmanıyla kurulan bağlantıların analizi yoluyla kurbanla yüz yüze olan aktif komuta ve kontrol (C2) sunucularını tam olarak belirleme becerisi kazanır.
Qakbot’a bağlı komuta ve kontrol (C2) sunucuları ile iki bağlı kuruluş kimliği, yani “Obama” ve “BB” arasında, üç yukarı akış Rus Katman 2 (T2) sunucusuyla birkaç ay boyunca TCP/443 üzerinden sürekli iletişim gözlemlendi.
Devam eden bu bağlantı, tanımlanan kampanyalar ile belirli T2 sunucuları arasında önemli bir ilişki olduğunu gösterir.
Rus IP adresleri, Rus olmayan kolluk kuvvetlerine ve araştırmacılara karşı bir kalkan sağladıkları için gelişmiş botnet ağlarında yaygın olarak kullanılır.
Bu, çeşitli kaynak IP’lerinden Rus IP alanına tekrarlayan bağlantıların şüpheli veya büyüleyici göründüğü bir karşıtlık yaratırken.
Uzmanlar, Nisan 2023’te QakBot kampanyalarının C2 yapılandırma verilerini analiz ettiler ve Rus T2 sunucularının yukarı akışta herhangi bir değişikliğe uğramadığını doğruladılar.
Daha sonra, TCP/443 aracılığıyla bağlantı kuran belirli sunucuları belirlemek için tüm C2 sunucularının kapsamlı bir incelemesi yapıldı.
C2 sunucularından gelen yukarı akış trafiği, her iki kampanyayla ilişkili yapılandırmalarda bulunduğu için ilginç bir model gösterdi: –
- Obama kampanyaları
- BB kampanyaları
Bu ilgi çekici örtüşme, iki kampanya arasında bu sunucuların kullanımıyla ilgili potansiyel bir bağlantı olduğunu gösteriyor.
Belirtilen zaman dilimi boyunca, Obama kampanyalarında yalnızca kendileriyle ilişkili beş farklı IP bulunurken, BB kampanyasında yalnızca bir benzersiz IP vardı.
Aşağıda bu IP’lerden bahsetmiştik: –
Obama:
- 59.153.96.4
- 73.22.121.210
- 119.82.121.251
- 189.151.95.176
- 197.94.95.20
BB:
1 Mart – 8 Mayıs 2023 tarihleri arasında, daha önce bahsedilen aktif C2 sunucularından kaynaklanan trafik akışları analiz edildi. Bu akışlar daha sonra içinde bulundukları bağlı kuruluş yapılandırmalarına göre kategorilere ayrıldı.
Genel olarak, C2 sunucuları tarafından iletişim için kullanılan yukarı akış altyapısına dayalı olarak bağlı kuruluşlar arasında net bir ayrım gözlemlenmemiştir.
İki gün boyunca, BB ile ilişkili belirli bir C2 sunucusu aktif kaldı. Öncelikle RU3 ile iletişim kurdu, ancak ilk gün RU2 ile bir bağlantısı vardı.
Obama kampanyaları boyunca, C2 sunucuları ağırlıklı olarak RU2 ve RU3 ile iletişim kurdu ve ana temas noktalarını sergiledi. Ancak, Nisan ayı başlarında RU1 ile sınırlı etkileşimler vardı.
RU2 ve RU3, davranışlarında benzer kalıplar sergiliyor ve bu da aralarında bir tutarlılık düzeyi olduğunu gösteriyor. RU1 ise bu trendden saparak kendine özgü farklı bir örüntü izliyor.
IP Coğrafi Konum
Mart ayında, artan Hint ve ABD IP’leri, farklı konumlardaki etkin C2 sunucularında azalma ve RU1 ile görülmeyen ABD ve diğer Kuzey Amerika C2 sunucularından trafik alan RU2 ve RU3 ile C2 etkinliğinde bir değişiklik oldu.
RU1, Şubat ve Mart aylarında ara sıra ABD ve Çek Cumhuriyeti’nden C2 sunucularına bağlanırken, sınırlı çeşitliliğe sahip Hindistan’daki ana bilgisayarlara güveniyordu.
Şubat ayında, CZ sunucuları üç T2’nin tamamıyla iletişim kurarken, son zamanlarda Güney Afrikalı (ZA) sunucuları üç T2’nin tümü ile bağlantı kurmaya başladı.
öneriler
Aşağıda, siber güvenlik uzmanlarının sunduğu tüm önerilerden bahsetmiştik:-
- Mevcut QakBot enfeksiyonlarını tespit etmek ve gelecekteki saldırıları önlemek için listelenen IOC’leri kullandığınızdan emin olun.
- IOC listesini sorgulayarak ve Pure Signal Recon ve Scout kullanarak uzak TCP/443’e giden bağlantıları filtreleyerek Rus T2 sunucularını tanımlayın.
- Gelişen QakBot C2 altyapısını ortaya çıkarmak için Rus T2 sunucularına gelen bağlantıları döndürdüğünüzden emin olun.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin