PowerShell tabanlı kötü amaçlı yazılım, kötü amaçlı komut dosyalarını doğrudan bellekte yürütmek için PowerShell’den yararlanan ve AV çözüm algılama yöntemlerinden kaçmaya yardımcı olan dosyasız bir kötü amaçlı yazılım biçimidir.
Saldırganlar, PowerShell’in Windows ile derin entegrasyonu nedeniyle bu yaklaşımı tercih ediyor ve bu da onlara alarm vermeden komutları yürütme olanağı sağlıyor.
Securonix Tehdit Araştırma ekibi yakın zamanda Kuzey Koreli bilgisayar korsanlarının ciddi kaçırma teknikleriyle PowerShell tabanlı kötü amaçlı yazılımları aktif olarak kullandıklarını tespit etti.
Kuzey Koreli Hackerlar ve PowerShell Tabanlı Kötü Amaçlı Yazılımlar
Devam eden siber kampanyaya “SHROUDED#SLEEP” adı verildi ve bu yeni kampanya, Kuzey Kore’nin APT grubu “APT37” (“Reaper” ve “Group123”) tarafından yönetildi.
Analyse Any Suspicious Links Using ANY.RUN’s New Safe Browsing Tool: Try for Free
Bu grup öncelikli olarak “Güneydoğu Asya ülkelerini” hedef alıyor ve ana odak noktası “Kamboçya”.
Saldırı, “PDF” veya “Excel” belgeleri olarak görünen yanıltıcı kısayol (“.lnk”) dosyaları içeren kötü amaçlı “zip dosyaları” içeren “kimlik avı e-postaları” aracılığıyla başlar.
Bu kısayollar, üç veriyi çıkaran karmaşık bir “PowerShell tabanlı” saldırı zincirini tetikler: –
- Sahte bir belge (“e.xlsx”).
- Bir yapılandırma dosyası (“d.exe.config”).
- Kötü amaçlı bir DLL (“DomainManager.dll”).
Son yük, tehdit aktörlerinin “güvenliği ihlal edilmiş sistemler” üzerinde tam kontrol sahibi olmasını sağlayan RAT yetenekleri sağlayan “VeilShell” adlı özel bir PowerShell arka kapısıdır.
Raporda, kötü amaçlı yazılımın “uzatılmış uyku süreleri” ve “kalıcılık için AppDomainManager’ın ele geçirilmesi” gibi çeşitli kaçırma teknikleri kullandığı ve “.NET framework’ün dfsvc.exe dosyasını” meşru bir kılıf olarak kullandığı belirtiliyor.
Kötü amaçlı yazılımın saldırı zinciri, HTTPS aracılığıyla bir komuta ve kontrol sunucusuyla iletişim kurarak (özellikle “jumpshare”de) en üstte yer alıyor.[.]com”), “TLS 1.2 şifrelemeyi” kullanarak ve sunucudan alınan JavaScript kodunu çalıştırarak, tüm bunları “stratejik gecikmeler” ve “temizleme prosedürleri” aracılığıyla ‘gizliliği sürdürürken’ gerçekleştiriyor.
Uygulamanın ardından bu damlalık, AppDomainManager ele geçirme tekniği aracılığıyla “DomainManager.dll adlı özel bir DLL” gibi birden fazla saldırı aşamasını dağıtmak için “PowerShell komutlarından” yararlandı.
DLL, yeniden adlandırılmış yasal bir yürütülebilir dosya (“d.exe”) aracılığıyla yürütülür ve hxxp://208.85 adresindeki bir C2 sunucusundan uzak JavaScript’in kodunu çözmek ve yürütmek için bir “Caesar Şifresi” (“-7 kaydırma”) uygulanmıştır. 16[.]88.
Bu JavaScript, Windows ortamıyla etkileşim kurmak için bir “WScript.Shell” nesnesi oluşturdu ve son yükü dağıttı.
RAT, “hxxp://172.93.181” adresindeki bir “C2 sunucusu” ile iletişim kurarak Windows Kayıt Defteri değişiklikleri yoluyla kalıcılık sağladı.[.]”HTTP GET/POST istekleri” aracılığıyla “.249” ve “dosya işlemleri için 1 MB arabellek boyutuna” sahipti.
VeilShell’in yetenekleri “dosya yükleme/indirme işlevselliği”, “kayıt defteri değişiklikleri”, “zamanlanmış görev oluşturma” ve “kurbanın tanımlanması için sistem bilgileri toplama (ana bilgisayar adı ve kullanıcı adı)” sunar.
Kötü amaçlı yazılım, antivirüs tespitinden kaçınmak için stratejik gecikmeler (“64 saniyelik uyku aralıkları”) kullandı ve doğrudan komut yürütülmesinden kaçındı.
Bu çok aşamalı saldırı, tehlikeye atılmış sistemlerde tespit edilmeden uzun vadeli yetkisiz erişimi sürdürmek için meşru Windows araçları ve “T1204.001” (‘Kısayol Dosya Bırakıcısı’), “T1574.014” (‘T1574.014) gibi gizli tekniklerin bir kombinasyonunu kullandı. AppDomainManager’ın Ele Geçirilmesi’), “T1059.007” (‘Uzak JavaScript’) ve “T1059.001” (‘PowerShell Arka Kapısı).
Öneriler
Aşağıda tüm önerilerden bahsettik: –
- İstenmeyen dosya indirmelerinden (zip, rar, pdf) kaçının.
- Harici indirme bağlantılarını riskli olarak değerlendirin.
- Kötü amaçlı yazılım hazırlama için %APPDATA%\Startup’ı izleyin.
- Kayıt defterinde ve zamanlanmış görevlerde kalıcılığa dikkat edin.
- Uç nokta günlüğünü kullanın (Sysmon, PowerShell).
Free Webinar on How to Protect Small Businesses Against Advanced Cyberthreats -> Free Registration