Çin’deki oyun kullanıcılarını hedefleyen yeni bir kampanya, tehdit aktörlerinin kötü amaçlı yükleri gizlemek, güvenlik araçlarını devre dışı bırakmak ve kurban sistemlerde kalıcılığı sürdürmek için nasıl giderek daha fazla gelişmiş rootkit kullandığının en son örneği.
Bu örnekteki yeni rootkit’in geçerli bir Microsoft dijital imzası vardır, yani en son Windows sürümlerini çalıştıran sistemlere engellenmeden veya herhangi bir güvenlik uyarısını tetiklemeden başarıyla yüklenebilir. Diğer imzasız çekirdek modu sürücülerini, hedef sistemlerdeki Windows Defender yazılımını kapatmak için tasarlanmış sürücü de dahil olmak üzere doğrudan belleğe indirebilir, böylece tehdit aktörü daha sonra kendi tercihine göre ikinci aşama kötü amaçlı yazılımları bu sistemlere yükleyebilir ve kalıcılığı koruyabilir.
Çekirdek Modu Sürücü Tehdidi
Trend Micro’daki araştırmacılar kısa süre önce Çin’deki oyun kullanıcılarını hedef alan kötü amaçlı çekirdek sürücüsünü keşfettiler ve keşfettiklerini geçen ay Microsoft’a bildirdiler. Arkasındaki bilinmeyen tehdit aktörünün, aynı zamanda Çin oyun sektörünü de hedefleyen FiveSys adlı Web trafiğini izlemek ve yeniden yönlendirmek için benzer bir 2021 rootkit’in arkasında olduğuna inanıyorlar.
Yeni kötü amaçlı yazılım, güvenlik araştırmacılarının son iki yılda keşfettiği, sayısı giderek artan Microsoft imzalı çekirdek sürücülerinden biridir. Diğer örnekler arasında Mandiant’ın geçen Aralık ayında bildirdiği ve tehdit aktörlerinin fidye yazılımı dağıtmak da dahil olmak üzere farklı şekillerde kullandığı bir rootkit olan PoorTry; ve IP yönlendirmesi için NetFilter; ve FiveSys. Geçen Aralık ayında Sophos, hedeflenen sistemlerde virüsten koruma yazılımlarını ve uç nokta güvenlik araçlarını öldürmek için tasarlanmış Microsoft imzalı bir Windows sürücüsünü açıkladı. Çoğu kişi, uç nokta araçlarının diğer vektörler aracılığıyla içeri kaçırılan tehditleri tespit etmede ne kadar etkili hale gelmesi nedeniyle saldırganların bu tür araçları giderek daha fazla kullandığına inanıyor.
Bu araçların birçoğu, oyunlarda kimlik bilgisi hırsızlığı ve coğrafi konum hilesi gibi amaçlarla Çin’deki oyun sektörünü hedef aldı. Ancak bir tehdit aktörünün bunları diğer coğrafyalarda ve bir dizi başka kötü amaçlı kullanım durumunda kullanamaması için hiçbir neden yoktur.
Trend Micro araştırmacıları Mahmoud Zohdy, “Bu tür yetenekler oluşturmanın ne kadar karmaşık olmasına rağmen, mevcut kötü niyetli aktörler, nihai amaçları ve amaçları ne olursa olsun, bu tür araçları, taktikleri ve prosedürleri (TTP’ler) yeterlilik ve tutarlı bir şekilde kullanıyor gibi görünüyor.” Sherif Magdy ve Mohamed Fahmy bu hafta yazdı.
Evrensel Rootkit Yükleyici
Araştırmacılar, keşfettikleri yeni kötü amaçlı yazılımı, evrensel bir rootkit yükleyici işlevi gören bağımsız bir çekirdek sürücüsü olarak tanımladılar. Microsoft imzalı birinci aşama sürücü, çekirdek modu ağ programlama arabirimi olan Windows Socket Kernel’i kullanarak komut ve iletişim (C2) sunucularıyla iletişim kurar. Üç araştırmacı, “Farklı alanlar oluşturmak için bir Etki Alanı Oluşturma Algoritması (DGA) algoritması kullanıyor” dedi. “Bir adresi çözümleyemezse, doğrudan sürücünün içinde kodlanmış serpinti IP’lerine bağlanır.”
Birinci aşama sürücü, kendinden imzalı bir ikinci aşama sürücü için yükleyici görevi görür. İkinci aşama sürücü, imzalı birinci aşama sürücü aracılığıyla indirildiğinden, Windows yerel sürücü yükleyicisini atlar ve doğrudan belleğe yüklenir. Daha sonra kötü amaçlı yazılım, kalıcılığı korumak ve varlığının tüm izlerini diskten kaldırmak için bir dizi adım başlatır.
Trend Micro, iki kötü amaçlı yazılım aracı arasındaki çeşitli benzerlikler nedeniyle yeni kötü amaçlı yazılımı FiveSys aktörüne bağlayabildiğini söyledi. Hem FiveSys rootkit hem de yeni kötü amaçlı yazılımla ilişkili ikinci aşama rootkit, Web tarama trafiğini saldırganın kontrolündeki bir sunucuya yönlendirme işlevi görür. Trend Micro, her ikisinin de Web trafiğini ve kanca dosya sistemi işlevlerini izleyebildiğini söyledi.
Sahte Geliştirici Hesapları
Microsoft, Microsoft imzalı kötü amaçlı sürücüler sorununu, ortak programı içindeki sahte geliştirici hesaplarında suçladı. Şirkete göre, “Microsoft İş Ortağı Merkezi (MPC) için birkaç geliştirici hesabı, bir Microsoft imzası almak için kötü amaçlı sürücüler göndermekle meşguldü.” Temmuz 2023 güvenlik güncellemesi duyurusuna eşlik eden bir danışma belgesinde şirket, tüm hesapları askıya aldığını ve kötü amaçlı sürücüleri tespit etmek ve engellemek için güncellemeler yayınladığını söyledi.
Bu arada, yeni bir değişiklikle, Cisco Talos bu hafta, çekirdek modu Microsoft sürücülerinde imzalama tarihini değiştirmek ve bunları binlerce dağıtmak için açık kaynaklı dijital imza zaman damgası sahtecilik araçları kullanan tehdit aktörlerini keşfettiğini söyledi. Şirket, etkinliği Microsoft’un Windows sürücü imzalama politikasındaki bir boşluğa bağladı. İlke temel olarak Windows’un, Microsoft’un Dev Portalı aracılığıyla imzalanmadıkça yeni çekirdek düzeyindeki sürücüleri yüklemeyeceğini belirtir. Cisco, politikanın “29 Temmuz 2015’ten önce imza zaman damgasıyla çapraz imzalı çekirdek modu sürücülerinin imzalanmasına ve yüklenmesine” izin veren bir istisna sağladığını söyledi. Tehdit aktörleri, süresi dolmuş olanlar da dahil olmak üzere sürücüleri imzalamak için boşlukları kötüye kullanıyor, bu nedenle politika muafiyeti kapsamına giriyorlar ve ardından bunları kötü amaçlı yazılım dağıtmak için kullanıyorlar.