Bilgisayar Korsanları BianLian'ın GO Arka Kapısını Kurmak İçin TeamCity Sunucusunun Güvenliğini Ele Geçirdi

BianLian saldırganları, ilk erişimi elde etmek ve ağ içinde yanal olarak hareket etmek için TeamCity güvenlik açığından (CVE-2024-27198 veya CVE-2023-42793) yararlandı.

Bir Komuta ve Kontrol (C2) sunucusuyla iletişim kurmak için şifreleme ve dize değiştirme ile iki katmanlı gizleme kullanan meşru araçlar gibi görünen bir PowerShell arka kapısını konuşlandırdılar.

Guidepoint Security'deki araştırmacılar, işlevlerine, SSL iletişimine ve BianLian'ın GO arka kapısını çalıştırdığı belirlenen bir sunucuyla olan iletişimine dayanarak bu arka kapıyı BianLian grubuyla ilişkilendirdi.

Artan Tehdit: TeamCity İhlalinden PowerShell Arka Kapısına

Saldırganlar ilk erişimi elde etmek için TeamCity güvenlik açığından (CVE-2024-27198 veya CVE-2023-42793) yararlandıktan sonra, saldırganlar ağı keşfetmek ve iki yapı sunucusuna geçmek için çeşitli Windows komutlarını kullandı.

Meşru Winpty araçları, PowerShell betiği (web.ps1) dahil olmak üzere komutları çalıştırmak ve kötü amaçlı araçları dağıtmak için kötüye kullanıldı. Anti-virüs, BianLian kötü amaçlı yazılımıyla ilişkili DLL'leri tespit etti ve bu da web.ps1'in işlevselliğine işaret etti.

Saldırganlar ayrıca sunucularıyla iletişim kurmak ve kimlik bilgilerini çalmak için başka kötü amaçlı ikili dosyalar ve araçlar da kullandı. Saldırganlar, Güvenlik Hesapları Yöneticisi (SAM) tekniğini kullanarak kimlik bilgilerini boşaltmaya çalıştıklarında tespit edildi.

GO arka kapısını dağıtmayı başaramayan saldırganlar, benzer işlevselliğe sahip bir PowerShell arka kapısı kullanarak iki gizleme katmanı kullandı: şifrelenmiş bayt dizisi ve dize değiştirme.

İlk katman, yürütme komutunun yerine, daha kolay analiz için şifresi çözülmüş içeriği yeni bir dosyaya yazma komutunu alan basit bir şifreleme-şifre çözme işlemiydi.

İkinci katman karmaşık görünüyordu ancak değişkenleri “bul ve değiştir” yaklaşımıyla yeniden adlandırdıktan sonra netleşti.

Komut dosyası, muhtemelen sürekli işlemler için bir Komuta ve Kontrol (C2) sunucusuna bağlanır ve SSL akışları ve TCP soketleriyle ilgili yöntemleri kullanarak tünel oluşturma veya arka kapı işlevlerini önerir.

BianLian tehdit grubuna bağlı kötü amaçlı bir PowerShell arka kapısını analiz ederken, “pastalar” ve “çerezler” işlevleri olarak adlandırılan arka kapı, C2 sunucusuyla iletişim kurmak için yerleşik bir SSL akışını kullanır.

Eşzamansız yürütme ve .NET PowerShell için çalışma alanı havuzlarından yararlanır. ScriptBlock'ları çağırmak için Create() yöntemi, geleneksel Invoke-Command veya Invoke-Expression'dan daha verimlidir ve tespit edilmesi potansiyel olarak daha zordur.

BianLian'ın GO arka kapısına benzer şekilde, bu PowerShell arka kapısı kimlik doğrulama için sertifikaları kullanır ve uzak SSL sertifikasını

Başarılı doğrulamanın ardından bir SSL akışı oluşturur ve daha fazla talimat için C2 sunucusuyla iletişim kurar.

PowerShell betiğinin analizi, ondalık biçimde belirli bir IP'ye (136.0.3.71) dönüşen bir parametreye (Cookies_Param1) sahip bir işlev çağrısını ortaya çıkardı.

OSINT araştırması, bu IP'yi 6 Mart 2024'te BianLian GO arka kapısını çalıştıran bir sunucuya bağladı ve olay zaman çerçevesine denk geldi.

BianDoor.D imzasına yönelik tespitler, PowerShell arka kapının yürütülmesinden önce gözlemlendi ve bu bulgular, PowerShell betiğinin bir BianLian GO arka kapı çeşidi olduğunu güçlü bir şekilde ortaya koyuyor.

Uzlaşma Göstergeleri