Bilgisayar korsanları, güvenliği ihlal edilmiş ağlara erişimi sürdürmek için özel bilgisayar korsanlığı araçları kullanır. Bu tür araçlar, tehdit aktörlerinin tespit mekanizmalarından kaçmasına ve ele geçirilen sistem üzerinde kontrolü sürdürmesine yardımcı olur.
Bu yetkisiz erişim, tehdit aktörlerinin ele geçirilen ağ sistemlerinden hassas bilgileri çıkarmasına olanak tanır.
Kroll’daki siber güvenlik araştırmacıları yakın zamanda bilgisayar korsanlarının aktif olarak kullandığı kötü amaçlı bir “SYSTEMBC” aracı keşfetti.
HERHANGİ BİR ÇALIŞTIRMA Sandbox’ındaki Şüpheli Dosyaları ve Bağlantıları Güvenle Açın; Tüm Özellikleri Ücretsiz Deneyin. Kötü amaçlı yazılım davranışını anlayın, IOC’leri toplayın ve kötü amaçlı eylemleri TTP’lerle kolayca eşleştirin; tüm bunları etkileşimli sanal alanımızda yapın.
Ücretsiz deneme
Erişimi Korumak için SYSTEMBC Aracı
Kroll, 2023’ün 2-3. çeyreğinde ağ erişimi için kötü amaçlı “SYSTEMBC” aracının kullanımında önemli bir artış olduğunu kaydetti.
Bu araç ilk kez 2018’de görüldü ve SYSTEMBC, tehdit aktörlerine kalıcı erişim veya arka kapı sağlayan bir SOCKS5 proxy’si görevi görüyor.
Bunun yanı sıra SYSTEMBC, çeşitli tehdit aktörleri tarafından farklı kampanyalarda ve çok sayıda kötü amaçlı yazılım ailesiyle birlikte kullanılıyor.
Aşağıda tüm kötü amaçlı yazılım ailelerinden bahsettik: –
- RİZİDYA
- BLACKBASTA
- KÜBA
- GOT YÜKLEYİCİ
- KOBALTSALDIRISI
- DUYGU
SYSTEMBC, kötü amaçlı yazılım, bir C2 sunucusu ve bir PHP yönetici portalı içerdiğinden karanlık ağdan satın alınabilir. Kroll CTI, İngilizce ve Rusça kurulum talimatlarını açıklayarak C2 sunucusunu keşfetti.
C2 uygulamasında Windows için “server.exe” ve Linux için “server.out” bulunur. Güvenlik analistlerinin odak noktası Linux sunucusudur.
IPC (genellikle 4000) ve C2 trafiği (genellikle 443) için bağlantı noktalarını açar. Aktif implantların 4001 ile 49151 arasında değişen portları vardır.
Yapılandırma ayrıntıları, kolay tanımlama için etiketlenmiş ve dolgulu bağlantı noktası dizeleriyle birlikte ikili dosyadadır.
Bağlantı noktası 49151, geliştiricinin C veya Assembly gibi düşük düzeyli programlamaya aşina olduğunu gösterir. Onaltılı olarak 0xBFFF’dir, yani 0xC000’den bir küçüktür, bu da tamsayı bellek tahsisine ilişkin farkındalığı gösterir.
SYSTEMBC, C’de olduğu gibi Linux Sunucusu ikili dosyasındaki olası Montaj kodunun ipucunu veriyor. Katı PHP panel komut dosyası, ağırlıklı olarak PHP’nin iç içe geçmiş HTML’si yerine yankıyı tercih eden “if” ifadelerine dayanır. TCP bağlantı kurulumundaki sabit kodlu bağlantı noktası 4000, tercih edilen bir yapılandırmayı ifade eder.
“secondsToTime” işlevi Stack Overflow’tan ödünç alındı ve çeşitli becerilerin bir karışımını ortaya çıkardı. PHP’nin kullanımı, teknoloji tercihi yerine işlevselliğe odaklanmayı önerdiği için pratik olabilir.
Kontrol paneli saldırganlar için son derece önemli olsa da, SOCKS trafiği için C2 sunucu bağlantı noktalarını vurgulayan önemli makine ayrıntılarını içeren bir tablo içerir.
SYSTEMBC’nin temel işlevleri: –
- ÇORAP5
- Yükleyici işlevselliği
- Modül yükleme
SYSTEMBC, RHYSIDA fidye yazılımı gruplarının güvenlik ihlali sonrasında erişimi sürdürmek için sıklıkla kullanması nedeniyle önemli bir tehdit oluşturmaktadır.
Bir sağlık durumunda, güvenliği ihlal edilen kimlik bilgileri ve Citrix NetScaler güvenlik açığı, SYSTEMBC dağıtımına izin vererek tehdit aktörlerinin Advanced Port Scanner, AnyDesk ve MegaSync gibi araçlarla daha fazla saldırı gerçekleştirmesine olanak sağladı.
Ancak başarılı şifreleme aynı zamanda şifre değişikliklerine de yol açarak BT erişimini engelledi.