Tehdit aktörleri, virüslü cihazlardaki tuş vuruşlarını kaydederek hassas bilgileri yakalamak için keylogger'ları kullanır; çünkü gizli teknikler ve taktikler, mağdurun bilgisi olmadan değerli bilgileri çalmalarına olanak tanır.
Hükümetler veya tehdit aktörleri Keylogger'ları istihbarat toplamak veya hedeflerini izlemek için casusluk aracı olarak kullanabilir.
Splunk Tehdit Araştırma Ekibi'ndeki siber güvenlik araştırmacıları yakın zamanda SnakeKeylogger saldırılarını, tekniklerini ve taktiklerini açıkladı.
SnakeKeylogger Saldırı Teknikleri
Snake Keylogger, kimlik bilgilerini çalar ve tuş vuruşlarını günlüğe kaydeder. .NET'te geliştirilmiştir ve ekran görüntülerini, pano verilerini, tarayıcı kimlik bilgilerini ve sistem bilgilerini yakalar.
Veri sızdırma için FTP, e-posta ve Telegram kullanır. Çeşitli C2 altyapısı, geleneksel savunmalara karşı operasyonel etkinliği artırır.
Snake Keylogger, kimlik avı yoluyla yayılır ve sanal alanlardan kaçmak için kriptolayıcılar/yükleyicilerle kodu gizler. Bu yükleyici, .RSRC giriş adını ayrıştırır, şifrelenmiş .RSRC yükünün AES-ECB şifresinin çözülmesi için anahtar dizisinin SHA256 karmasını hesaplar.
Karmaşık taktikleri ise analize meydan okuyor. Şifresi çözülmüş veriler, farklı anahtarlar kullanan iki AES-ECB şifreli .RSRC girişine sahip başka bir yükleyiciye sahiptir.
Bunların şifresinin çözülmesi, bir RUNPE enjektörünü ve gerçek Snake Keylogger yükünü ortaya çıkarır.
Snake Keylogger, işletim sistemi sürümü, RAM ve HDD ayrıntıları gibi sistem bilgilerini toplar ve verileri C2 sunucusuna göndermeden önce formatlar.
Gerçektengeoip'i sorgular[.]org, şehir, ülke, enlem, boylam, bölge ve saat dilimini çıkararak ana makineyi coğrafi olarak bulmak için kullanılır.
Bu veriler, hedefli saldırılar için durumsal farkındalığı artırır.
Kalıcılık için kayıt defteri çalıştırma anahtarlarını kullanır ve yapım tarihi geçerli tarihten önceyse sonlandıran bir 'Kill Switch' içerir.
Bu taktik, güvenlik tespitinden kaçmaya yardımcı olan bir korumalı alan önleme yöntemidir.
Snake Keylogger sıklıkla Crypter veya yükleyicileri kullanır, tarih kontrolünü atlamak için tersine mühendislik gerektirir, bu da karmaşıklığı artırır.
Temizlemeden önceki gecikme için “/T”yi kullanarak, choice.exe ile kullanıcıya seçimler sorar. Tespitten kaçınmak için güvenlik araçlarının işlemlerini sonlandırır ve korumalı alan IP'lerinin bir listesini tutar.
Snake Keylogger, veriyi çalıştırmadan önce belirli IP adreslerini kontrol eder. Temizse sistem, ağ ve tarayıcı kimlik bilgilerini C2'ye sızdırır.
Bu ortam tespiti güvenlik kontrollerinden kaçar. Kimlik bilgileri ve kredi kartları için başlıca tarayıcıları ve e-posta/dosya istemcilerini hedefler.
Kullanıcı adları/şifreler için Outlook profillerini kayıt defterinden toplar. Veri hırsızlığı amacıyla şifreler, kartlar ve metinler gibi pano verilerini çalar.
Bu keylogger, görsel veri hırsızlığı için periyodik olarak kullanıcının Belgeler klasöründeki “Screenshot.jpg” gibi ekran görüntülerini yakalar.
Splunk raporuna göre, temel yeteneği, kimlik bilgilerini toplamak ve hassas bilgileri yazmak için gizli tuş vuruşu kaydıdır.
Yanıtın “#$0#” içermesi durumunda etkinliğin doğrulanması için C2 sunucusuyla iletişime geçilmesiyle başlar. Ajan Tesla gibi, verileri dışarı çıkarmak için yapılandırmada belirtilen FTP, e-posta ve Telegram C2 kanallarını kullanıyor.
IOC'ler
Perimeter81 kötü amaçlı yazılım korumasıyla Truva atları, fidye yazılımları, casus yazılımlar, rootkit'ler, solucanlar ve sıfır gün saldırıları dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Hepsi inanılmaz derecede zararlıdır ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.