[ This article was originally published here ]
AT&T Alien Labs araştırmacıları, BlackGuard hırsızının vahşi ortamda hedef odaklı kimlik avı saldırıları kullanarak bulaşan yeni bir çeşidini keşfettiler. Kötü amaçlı yazılım, önceki varyantından bu yana gelişti ve şimdi yeni yeteneklerle geliyor.
Önemli çıkarımlar:
- BlackGuard, çok çeşitli uygulamalardan ve tarayıcılardan hassas kullanıcı bilgilerini çalar.
- Kötü amaçlı yazılım, panoya kopyalanan kripto cüzdanlarını ele geçirebilir.
- Yeni varyant, çıkarılabilir medya ve paylaşılan cihazlar aracılığıyla yayılmaya çalışıyor.
Arka plan
BlackGuard hırsızı, bir Rus kullanıcı BlackGuard adlı yeni bir kötü amaçlı yazılım hakkında bilgi yayınladığından beri yeraltı forumlarında ve Telegram’da satılan bir hizmet olarak kötü amaçlı yazılımdır. Çok çeşitli uygulama ve tarayıcılardan bilgi toplayabildiği iddia edilerek ömür boyu 700 ABD Doları veya aylık 200 ABD Doları karşılığında teklif edildi.
Kasım 2022’de BlackGuard için bir güncelleme, geliştiricisi tarafından Telegram’da duyuruldu. Kötü amaçlı yazılımın yazarı, yeni özelliklerin yanı sıra komut ve kontrol panelinin yüklenmesi konusunda ücretsiz yardım önerir (Şekil 1)
Şekil 1. Telegram kanalında yeni kötü amaçlı yazılım sürümünün duyurulması.
Analiz
Çalıştırıldığında, BlackGuard önce bir Mutex oluşturarak başka bir örneğin çalışıp çalışmadığını kontrol eder.
Ardından, sistemin yeniden başlatılmasından sonra hayatta kalacağından emin olmak için, kötü amaçlı yazılım kendisini “Çalıştır” kayıt defteri anahtarına ekler. Kötü amaçlı yazılım ayrıca, kötü amaçlı yazılım korumalı alan ortamında çalışıp çalışmadığını belirlemek için TickCount’u kontrol ederek ve mevcut kullanıcının belirli bir listeye ait olup olmadığını kontrol ederek hata ayıklayıcı modunda çalışıp çalışmadığını da kontrol eder. (Şekil 2)
Şekil 2. Kötü amaçlı yazılım, belirli kullanıcı adları altında çalışıyorsa yürütülmesini önleyecektir.
Kullanıcının hassas verilerini çalmak için artık her şey hazır. Çalınan tüm bilgileri, Tarayıcılar, Dosyalar, Telegram vb. gibi her bir veri parçasının belirli bir klasörde saklandığı bir klasörde toplar (Şekil 3)
Şekil 3. Çalınan verilerin klasörlere ayrıldığı BlackGuard ana klasörü.
Hassas verileri toplamayı bitirdiğinde, kötü amaçlı yazılım “xNET3301LIVE” parolasını kullanarak ana klasörü sıkıştırır ve onu kendi komuta ve kontrolüne gönderir. (Şekil 4)
Şekil 4. Dışarı sızan verileri parolayla sıkıştırma ve komut ve kontrole yükleme.
tarayıcı gizliliği
Çerezleri, geçmişi ve farklı tarayıcılardan indirilenleri toplamanın yanı sıra BlackGuard, farklı tarayıcıların özel dosya ve klasörlerinin varlığını da arar. (Buna “Oturum Açma Verileri”, Otomatik Doldurma, Geçmiş ve İndirmeler dahildir. (Şekil 5)
Şekil 5. Tarayıcı bilgilerini toplama.
BlackGuard’ın aradığı tarayıcıların listesi aşağıdadır:
|
Krom |
Krom |
ChromePlus |
|
İridyum |
7 Yıldız |
CentBrowser |
|
çedot |
Vivaldi |
kuyruklu yıldız |
|
Öğe Tarayıcı |
Epic Gizlilik Tarayıcısı |
uCozMedia |
|
Sleipnir5 |
citrio |
Coowon |
|
yalan |
QIP Sörfü |
yörünge |
|
Kullanışlı Ejderha |
arkadaş |
Meşale |
|
Rahat |
360Tarayıcı |
Maxthon3 |
|
K-kavun |
Sputnik |
Nikrom |
|
CocCoc |
Kariyer |
kromodo |
|
Opera |
Cesur Tarayıcı |
Kenar |
|
Uç Beta |
OperaGX |
CryptoTab tarayıcı |
Ek olarak, kötü amaçlı yazılım Chrome, Edge ve Edge Beta tarayıcılarının kripto para birimi eklenti verilerini çalıyor. “MicrosoftEdgeUser DataDefaultLocal Extension Settings” içinde kodlanmış yükleme klasörü yolunu arayarak aşağıda listelenen eklentileri destekler. Örneğin, “Terra Stations” için özel klasör “ajkhoeiiokighlmdnlakpjfoobnjinie” şeklindedir. BlackGuard, aşağıda listelenen Edge/EdgeBeta eklentilerini arar:
|
Elbette |
Matematik |
meta maske |
|
MTV |
Rabet |
Ronin |
|
Yoroi |
Zilpay |
Çıkış |
|
Terra İstasyonu |
Jaxx |
Chrome için şu eklentileri arar:
|
Binance |
bit uygulaması |
Coin98 |
|
Eşit |
Lonca |
ikonex |
|
Matematik |
Mobox |
hayalet |
|
Tron |
XinPay |
Ton |
|
meta maske |
Sollet |
Eğim |
|
Starcoin |
gösteriş |
Finnie |
|
Keplr |
Krokobit |
Oksijen |
|
Şık |
Keplr |
Forbol X |
|
Eğim Cüzdanı |
Nabox Cüzdan |
ONTO Cüzdan |
|
Kayabalığı |
FINX |
Ancak |
|
Gönderen Cüzdanı |
Sıçrama Cüzdanı |
Sonsuzluk Cüzdanı |
|
Zecrey |
Maiar Cüzdanı |
Çakmaktaşı Cüzdan |
|
Liquality |
Kripto para
Kötü amaçlı yazılım ayrıca kripto para cüzdanlarını da çalar. Aşağıdaki kripto cüzdanların her biri için cüzdan dizinini kopyalar ve kendi komuta ve kontrolüne gönderir.
|
Zcash |
cephanelik |
Jaxx Özgürlük |
|
Çıkış |
Ethereum |
elektrum |
|
atomik |
Koruma |
zap |
|
Binance |
atomik |
Çerçeve |
|
Güneş cüzdanı |
Jeton Cebi |
Sonsuzluk |
Ayrıca “Dash” ve “Litecoin” anahtarlarının kurulum yolu için kayıt defterini sorgulayacak ve aynısını yapacaktır.
Mesajlaşma ve oyun uygulamaları:
BlackGuard, çok çeşitli mesajlaşma uygulamalarının çalınmasını destekler. Telegram, Discord ve Pidgin gibi bazı uygulamalar için kötü amaçlı yazılımın her biri için belirli bir işleyicisi vardır. Örneğin, Discord için, Discord belirteçlerini depolayan Uygulama Verileri klasöründeki şu klasörler için tüm verileri kopyalar: “DiscordLocal Storageleveldb”, “Discord PTBLcal Storageleveldb”, “Discord Canaryleveldb”. Ayrıca, Discord’un token normal ifadesiyle eşleşirlerse “.txt” ve “.ldb” uzantılı dosyalardaki tüm dizeleri kopyalar. (Şekil 6)
Şekil 6. Discord’un jetonlarını ve verilerini çalmak.
Kötü amaçlı yazılımın hassas bilgileri çalmak istediği mesajlaşma uygulamalarının listesi aşağıdadır:
|
Anlaşmazlık |
Telgraf |
Toksik |
|
eleman |
Miranda NG |
sinyal |
|
Adamant-IM |
Tel |
Naber |
|
kırbaç |
Proxifier |
Buhar |
|
Pdgin |
Savaş ağı |
Outlook, FTP, VPN ve diğer uygulamalar
BlackGuard, ek iletişim programlarından oturum açma verilerini ve diğer hassas bilgileri çalar. Kötü amaçlı yazılım, e-posta uygulamalarında kullanıcı, parola ve sunucu bilgilerini çıkarmak için CURRENT_USER kovanı altındaki belirli Outlook kayıt defteri anahtarlarını sorgular. (Şekil 7)
Şekil 7. Outlook’ta saklanan bilgilerin dışarı sızması.
Kötü amaçlı yazılım, depolanan kullanıcıları ve parolaları çıkarmak için farklı FTP ve VPN uygulamalarını da kullanır. Örneğin, NordVPN için kötü amaçlı yazılım, uygulamanın klasörünü arayacak ve bulunursa, kullanıcıları ve parolaları çıkarmak için tüm user.config dosyalarını ayrıştıracaktır. (Şekil 8)
Şekil 8. NordVPN bilgilerinin sızması.
BlackGuard, Outlook ve NordVPN’e ek olarak WinSCP, FileZilla, OpenVPN, ProtonVPN ve Total Commander’dan da bilgi çalar.
Toplanan diğer veriler
Ek olarak, kötü amaçlı yazılım, makinede yüklü olan virüsten koruma yazılımı, harici IP adresi, yerelleştirme, dosya sistemi bilgileri, işletim sistemi ve daha fazlası gibi bilgileri de makineden toplar.
Yeni BlackGuard özellikleri
Kripto cüzdanı kaçırma
BlackGuard, virüslü makinede kayıtlı/yüklü kripto cüzdanlarını çalmanın yanı sıra panoya kopyalanan (CTRL+C gibi) kripto para adreslerini ele geçiriyor ve bunları tehdit aktörünün adresiyle değiştiriyor. Bu, bir kurbanın diğer cüzdanlara aktarmaya/ödemeye çalışırken fark etmeden saldırgana kripto varlıkları göndermesine neden olabilir. Bu, panoya kopyalanan herhangi bir içeriği izleyerek ve onu göreli farklı kripto cüzdanlarının normal ifadesiyle eşleştirerek yapılır. (Şekil 9)
Şekil 9. Panoda listelenen madeni paraları aramak için belirli normal ifade.
Bir eşleşme olduğunda, kötü amaçlı yazılım, komut ve kontrolünü alternatif cüzdan için sorgulayacak ve kullanıcı tarafından kopyalanan cüzdan yerine panoya yerleştirecektir. Kötü amaçlı yazılım, aşağıdaki popüler kripto varlıklarının çalınmasını destekler:
|
BTC (Bitcoin) |
ETH (Etherum) |
XMR (Monero) |
|
XLM (Yıldız) |
XRP (Dalgalanma) |
LTC (Litecoin) |
|
NEC (Nektar) |
BCH (Bitcoin Nakit) |
DASH |
Paylaşılan / çıkarılabilir cihazlar aracılığıyla çoğaltın
Bu özellik, Windows 7’den bu yana yalnızca CDROM için kullanılmak üzere sınırlandırılmış olsa da, kötü amaçlı yazılım kendisini, kötü amaçlı yazılımın otomatik olarak çalıştırılmasına işaret eden bir “” dosyasıyla mevcut her sürücüye kopyalar. Bu, çıkarılabilir ve paylaşılan cihazları içerir. Örneğin, Windows’un eski bir sürümüne bir USB aygıtı bağlanırsa, kötü amaçlı yazılım otomatik olarak yürütülür ve makineye bulaşır. (Şekil 10)
Şekil 10. Kullanılabilir tüm sürücülere dağıtın.
İşlem enjeksiyonu ile ek kötü amaçlı yazılımları indirin ve yürütün
BlackGuard’ın yeni çeşidi, komuta ve kontrolünden ek kötü amaçlı yazılımları indirir ve yürütür. Yeni indirilen kötü amaçlı yazılım, “” yöntemi kullanılarak enjekte edilir ve yürütülür. Bununla birlikte, kötü amaçlı yazılım yasal/beyaz listeye alınmış işlemler altında çalışacak ve daha fazla algılamayı zorlaştırabilir. (Şekil 11)
Şekil 11. İşlem enjeksiyonunu kullanarak ek kötü amaçlı yazılımı indirin ve yürütün.
Hedeflenen işlem, RuntimeDirectory klasörü RegASM.exe’dir (C:WindowsMicrosoft.NETFramework64runtime_versionRegAsm.exe)
Devasa kötü amaçlı yazılım çoğaltma
Kötü amaçlı yazılım kendisini C: sürücüsündeki her klasöre yinelemeli olarak kopyalar, kötü amaçlı yazılımın her klasör kopyalanacak rastgele bir ad oluşturur. Bu özellik, kötü amaçlı yazılımlar için yaygın değildir ve kötü amaçlı yazılım bundan hiçbir avantaj elde etmediğinden, bu çoğunlukla can sıkıcıdır.
sebat
Kötü amaçlı yazılım, kendisini “Çalıştır” kayıt defteri anahtarının altına ekleyerek sistemin yeniden başlatılmasından kurtulmak için kalıcılık sağladı. (Şekil 12)
Şekil 12. Kayıt kalıcılığını ayarlama.
Belgeler – gizlilik etkinliği
Kötü amaçlı yazılım, kullanıcı klasörlerinde (alt dizinler dahil) “.txt”, “.config”, “.docx”, “.doc”, “.rdp” uzantılarıyla biten tüm belgeleri arar ve komutuna gönderir ve kontrol eder: ” Masaüstü”, “Belgelerim”, UserProfile klasörü.
Algılama yöntemleri
Aşağıdaki ilişkili tespit yöntemleri Alien Labs tarafından kullanılmaktadır. Okuyucular tarafından kendi ortamlarında algılamaları ayarlamak veya dağıtmak veya ek araştırmalara yardımcı olmak için kullanılabilirler.
|
SURICATA KİMLİKLERİ İMZALARI |
|
2035716: ET TROJAN BlackGuard_v2 Veri Sızması Gözlemlendi |
|
2035398: ET TROJAN MSIL/BlackGuard Stealer Exfil Etkinliği |
İlişkili göstergeler (IOC’ler)
Aşağıdaki teknik göstergeler, bildirilen istihbaratla ilişkilidir. Ayrıca göstergelerin bir listesi de mevcuttur. Nabzın, raporla ilgili ancak kapsamı dışında kalan diğer faaliyetleri içerebileceğini lütfen unutmayın.
|
TİP |
GÖSTERGE |
TANIM |
|
IP ADRESİ |
http://23[.]83.114.131 |
Kötü amaçlı yazılım komuta ve kontrolü |
|
SHA256 |
88e9780ce5cac572013aebdd99d154fa0b61db12faffeff6f29f9d2800c915b3 |
Kötü amaçlı yazılım karması |
MITRE ATT&CK ile eşlendi
Bu raporun bulguları aşağıdaki tekniklerle eşleştirilmiştir:
- TA0001: İlk Erişim
- T1091: Çıkarılabilir Ortam Aracılığıyla Çoğaltma
- TA0002: Yürütme
- T1106: Yerel API
- T1047: Windows Yönetim Araçları
- TA0003: Kalıcılık
- T1547.001: Kayıt Çalıştırma Anahtarları / Başlangıç Klasörü
- TA0005: Savunmadan Kaçınma
- T1027: Gizlenmiş Dosyalar veya Bilgiler
- TA0006: Kimlik Bilgileri Erişimi
- T1003: İşletim Sistemi Kimlik Bilgileri Dökümü
- T1539: Web Oturumu Çerezini Çal
- T1528: Uygulama Erişim Simgesini Çalın
- T1552: Güvenli Olmayan Kimlik Bilgileri
- .001: Dosyalardaki Kimlik Bilgileri
- .002: Dosyalardaki Kimlik Bilgileri
- TA0007: Keşif
- T1010: Uygulama Penceresi Keşfi
- T1622: Hata Ayıklayıcıdan Kaçınma
- T1083: Dosya ve Dizin Keşfi
- T1057: Süreç Keşfi
- T1012: Sorgu Kaydı
- T1082: Sistem Bilgisi Keşfi
- T1497: Sanallaştırma/Sandbox Kaçırma
- TA0008: Yanal Hareket
- T1091: Çıkarılabilir Ortam Aracılığıyla Çoğaltma
- TA0009: Koleksiyon
- T1115: Pano Verileri
- T1213: Bilgi Havuzlarından Veriler
- T1005: Yerel Sistemden Veriler
- TA0011: Komuta ve Kontrol
- T1071: Uygulama Katmanı Protokolü
- T1105: Giriş Aracı Transferi
- TA0010: Sızma
- T1020: Otomatik Sızma
reklam