Morphisec’e göre ProxyShellMiner, Windows uç noktalarına çok zor bir kötü amaçlı yazılım işlemi tarafından dağıtılıyor.
Saldırganlara gelir elde etmek için “ProxyShellMiner”, Microsoft Exchange ProxyShell güvenlik açıklarını kullanarak bir Windows etki alanı boyunca kripto para madencilerini dağıtır.
ProxyShellMiner, ilk erişimi elde etmek ve kripto madencilerini dağıtmak için CVE-2021-34473 ve CVE-2021-34523 ProxyShell güvenlik açıklarını kullanarak bir şirketin Windows Exchange sunucularından yararlanır.
Morphisec, “Bir Exchange sunucusunu başarılı bir şekilde ihlal ettikten ve denetimi ele geçirdikten sonra, saldırganlar, madencinin etki alanı genelinde yürütülmesini sağlamak için etki alanı denetleyicisinin NETLOGON klasörünü kullanır, yazılımın GPO aracılığıyla teslim edilmesine benzer şekilde,” diyor Morphisec.
Araştırmacılar, saldırganların dört C2 sunucusu kullandığını fark etti. Meşru, virüslü posta sunucularının tümü, kötü amaçlı yazılıma bağımlı dosyaların depolandığı yerdir.
Morphisec’e göre “Bir kuruluşun ağında kripto para madenciliği yapmak, sistem performansının düşmesine, güç tüketiminin artmasına, ekipmanın aşırı ısınmasına neden olabilir ve hizmetleri durdurabilir”.
ProxyShellMiner Kötü Amaçlı Yazılımının Teknik Analizi
Kötü amaçlı yazılımın, etkinleştirmek için XMRig madenci bileşeni için bir parola işlevi gören bir komut satırı parametresine ihtiyacı vardır.
“Bu parametre daha sonra XMRig madenci yapılandırması için bir anahtar ve çalışma zamanı karşıtı bir analiz taktiği olarak kullanıldı”, Morphisec
XOR şifre çözme algoritması, bir XOR anahtarı ve gömülü bir sözlük ProxyShellMiner tarafından kullanılır. Sonraki katıştırılmış kod modülleri daha sonra “InMemory” derleme parametreleriyle C# derleyicisi CSC.exe kullanılarak yürütülür.
Kötü amaçlı yazılım daha sonra “DC DLL” adlı bir dosyayı indirir ve görev zamanlayıcı, XML ve XMRig anahtar bağımsız değişkenlerini almak için .NET yansımasını kullanır. Ek dosyaların şifresinin çözülmesi, DLL dosyası kullanılarak yapılır.
İkinci bir indirici, kullanıcı oturum açtığında başlayacak şekilde planlanmış bir etkinlik ayarlayarak, güvenliği ihlal edilmiş sistemde kalıcılık sağlar. Rapor, diğer dört dosyanın ve ikinci yükleyicinin uzak bir kaynaktan indirildiğini söylüyor.
Bu dosya, “işlem boşaltma” adı verilen bir teknik kullanarak, saldırıya uğramış sistemdeki yüklü tarayıcılardan hangisinin madenciyi bellek alanına enjekte etmek için kullanılacağını belirler. Madencilik süreci daha sonra sabit kodlanmış bir listeden rastgele bir madencilik havuzu seçtikten sonra başlar.
Tüm giden trafiği engelleyen ve tüm Windows Güvenlik Duvarı profilleri için geçerli olan bir güvenlik duvarı kuralı belirlemek, saldırı zincirindeki son aşamadır. Bu, savunucuların enfeksiyon belirtileri bulma veya güvenliği ihlal edilmiş sistemden olası bir güvenlik ihlali hakkında bildirim alma olasılığını azaltmak için yapılır.
“Kötü amaçlı yazılım, hedef makine herhangi bir giden bağlantıyı engellerken en az 30 saniye bekler. Bunu, ortak güvenlik çözümlerinin işlem çalışma zamanı davranış analizine müdahale etmek için yapıyor”, araştırmacılar.
Son düşünceler
ProxyShellMiner yalnızca iş ağlarını kesintiye uğratmaz, elektrik faturalarını artırmaz, ekipmanı aşırı ısıtmaz ve hizmetlerin çalışmasını durdurmaz. Tehdit aktörlerine daha fazla kötü amaç için erişim sağlar.
Morphisec, “Saldırganlar bir ağda bir yer edindiklerinde, web kabukları, arka kapılar konuşlandırdılar ve kurban kuruluşların güvenliğini daha fazla aşmak için tünel açma yardımcı programlarını kullandılar”, Morphisec
Bu nedenle Morphisec, tüm yöneticileri mevcut tüm güvenlik güncellemelerini yüklemeye ve ProxyShellMiner saldırılarının tehlikesini azaltmak için kapsamlı ve her şeyi kapsayan tehdit algılama ve savunma önlemleri almaya teşvik eder.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin