Güvenlik araştırmacıları, Windows Defender ve Malwarebytes gibi güvenlik savunmalarını aşabilen, yedekleri silebilen, sistemleri devre dışı bırakabilen ve daha birçok kötü amaçlı işlemi gerçekleştirebilen çok sayıda tehdit aktörü aracı buldu.
Tehdit aktörleri, Komuta ve Kontrol (C2) sunucularıyla iletişim kurmak için SLiver, Ngrok, SystemBC ve PoshC2 gibi araçlar kullanıyor. Araçlar muhtemelen en azından Eylül 2023’e dayanan bir kampanyada fidye yazılımı saldırılarında kullanılmış ve etkinlik Ağustos 2024’e kadar devam etmiştir.
Açık Dizinde Tehdit Aktörü Araçları Bulundu
Aralık 2023’te DFIR tehdit araştırmacıları, savunma kaçınma ve komuta ve kontrol (C2) yüklerini yürütme, yedekleri silme ve SQL, Hyper-V, antivirüs araçları ve Exchange sunucularını devre dışı bırakma için tasarlanmış toplu komut dosyaları içeren açık bir dizin keşfetti.
Araştırmaları ayrıca Ngrok, SystemBC ve C2 çerçeveleri Sliver ve PoshC2 gibi araçların kullanımını ortaya çıkardı. Araçlar muhtemelen fidye yazılımı saldırı faaliyetleri için geliştirildi. Tehdit aktörleri Eylül 2023’ten beri aktifti ve en son faaliyet Ağustos 2024’te gözlemlendi.
Açık dizin, her biri bir saldırının farklı aşamaları için tasarlanmış ve hem Windows hem de Linux sistemlerini hedefleyen çok çeşitli toplu komut dosyaları içerir. Bu komut dosyaları, saldırganın operasyonları için olmazsa olmazdır ve güvenlik önlemlerini devre dışı bırakma, kritik hizmetleri durdurma ve komuta ve kontrol kanalları kurma gibi görevleri gerçekleştirir.
Üç Saldırı Aşaması İçin Geliştirilen Komut Dosyaları
Bulguların analizinde Cyble tehdit araştırmacıları, betikleri üç saldırı aşamasına ayırdı:
Savunma Kaçınma: Bu toplu komut dosyaları, uç nokta güvenliği ve antivirüs yazılımlarını devre dışı bırakmak için tasarlanmıştır ve saldırganların tespitten kaçınmasını kolaylaştırır. Buna, antivirüs araçlarıyla ilişkili işlemlerin sonlandırılması ve SQL, Hyper-V ve Exchange sunucuları gibi güvenlikle ilgili hizmetlerin durdurulması dahildir.
Kalıcılık ve Ayrıcalık Yükseltmesi: Bazı betikler, tehlikeye atılmış ortamda yükseltilmiş ayrıcalıklar elde etmeyi ve sürdürmeyi hedefler. Bu, yedeklemeleri silmeyi, olay günlüklerini temizlemeyi ve sürekli erişim ve kontrol için kullanılabilecek Atera gibi uzaktan izleme (RMM) araçlarının kurulumunu veya kaldırılmasını yönetmeyi içerir.
Komuta ve Kontrol: Komut dosyaları ayrıca saldırganın C2 sunucularıyla iletişim kanalları kurar ve sürdürür. Ngrok ve SystemBC gibi araçlar ve Sliver ve PoshC2 gibi iyi bilinen çerçeveler, trafiği tünellemek, komutları iletmek ve verileri sızdırmak için kullanılır ve tehlikeye atılan sistemler üzerinde sürekli kontrol sağlanır.
Cyble araştırmacıları, “Bu senaryoları detaylı bir şekilde analiz ederek saldırganın stratejisini ve saldırı kampanyasının çeşitli aşamalarında operasyonlarını yürütmek, sürdürmek ve gizlemek için kullandıkları belirli teknikleri daha iyi anlayabiliriz.” dedi.
İşte toplam 24 senaryo:
| Dosya adı | Tanım |
| out_del.one / out_del2.one | Atera uzaktan yönetim aracısını kaldırır |
| yedekleme.bat | Tüm sistem durumu ve genel yedekleri siler, tüm gölge kopyaları kaldırır ve tüm önyükleme hatalarını yok sayar |
| clearlog.bat | Windows olay günlüklerini siler, geri dönüşüm kutusunu temizler ve terminal sunucusu istemcisiyle ilgili kayıt defteri anahtarlarını kaldırır |
| cmd.cmd | UAC’yi devre dışı bırakır ve RDP ayarları da dahil olmak üzere kayıt defteri ayarlarını değiştirir |
| defansmalwar.bat | Windows Defender’ı devre dışı bırakır, kullanıcı hesabı denetim ayarlarını değiştirir ve Malwarebytes’ı kaldırır |
| yedekleme.bat | Tüm sistem durumu yedeklerini, yedekleme kataloglarını, gölge kopyalarını siler ve hataları yok saymak için önyükleme yapılandırmasını değiştirir |
| devre dışı.bat | Microsoft SQL ve Exchange, çeşitli veritabanı hizmetleri ve ek sistem hizmetleriyle ilgili hizmetleri durdurur ve devre dışı bırakır |
| hip.bat | Çeşitli Hyper-V, SQL ve Firebird sunucu hizmetlerini siler; Windows makinelerinde çok çeşitli sistem ve üçüncü taraf hizmetlerini durdurur |
| LOGOFALL.bat | Tüm kullanıcı oturumlarını listeler ve ilk oturum hariç her oturumu kapatır |
| LOGOFALL1.bat | Mevcut kullanıcının oturumu hariç olmak üzere 20. oturuma kadar tüm oturumları kapatma girişimleri |
| NG1.bat | 3389 (RDP) portunda çalışan bir Ngrok kimlik doğrulama belirteci içerir |
| NG2.bat | 3389 (RDP) portunda da çalışan bir Ngrok kimlik doğrulama belirteci içerir |
| Ngrok.exe | Proxy amaçları için meşru araç kötüye kullanılıyor |
| ON.bat | Ağ hizmetlerinin çalıştığından ve otomatik olarak başlayacak şekilde ayarlandığından emin olur |
| Posh_v2_dropper_x64.e xe | PoshC2 dropper, PowerShell tabanlı bir C2 yürütülebilir dosyası |
| yerel_bırakıcı | Posh_v2_dropper_x64.exe’nin Linux sürümü |
| poshc2+kullanıcı.txt | PoshC2 aracısını çalıştırmak ve daha sonraki istismar sonrası eylemleri gerçekleştirmek için PowerShell tek satırlık komutlarını içeren metin dosyası |
| py_dropper.sh | PoshC2 için Python dropper’ı çalıştırmak için Bash kabuk betiği |
| Kurulum_uncnow.msi | Atera uzaktan yönetim aracı yükleyicisi |
| gölge.bat / shadowGuru.bat | Güvenlik araçlarıyla ilgili birden fazla kayıt defteri anahtarını siler ve birden fazla disk sürücüsü için tam erişim izinlerine sahip ağ paylaşımları oluşturur |
| VmYönetilenKurulum.exe | SystemBC kötü amaçlı yazılım yürütülebilir dosyası |
| VAHŞİ_GURUR.exe | Sliver C2 framework çalıştırılabilir dosyası |
| z.bat | Hyper-V, birden fazla AV programı, SQL ve diğer belirli hizmetlerle ilişkili hizmetleri ve işlemleri kaldırır |
| z1.bat | İşlemlerin, hizmetlerin, kayıt defteri değişikliklerinin ve diğer savunma kaçınma tekniklerinin devre dışı bırakılmasını otomatikleştirir |
Uzlaşma Göstergeleri ve Gözlemlenen MITRE ATT&CK Teknikleri
Aşağıda PoshC2 tehdit aktörlerinin cephaneliğinde gözlemlenen tehlike göstergeleri (IoC’ler) ve MITRE ATT&CK teknikleri yer almaktadır.
