CRON#TRAP Kampanyası Windows Makineye Silahlandırılmış Linux Sanal Makinesiyle Saldırıyor


Silahlandırılmış Linux sanal makineleri, “sızma testi” veya “zafiyetlerden yararlanma” gibi saldırgan siber güvenlik amaçları için kullanılır.

Bu kurulumlar genellikle etik hackleme için tasarlanmış araçları ve çerçeveleri kullanır.

Securonix araştırmacıları yakın zamanda silahlı Linux sanal makineleriyle Windows makinelerine saldıran CRON#TRAP kampanyasını tespit etti.

– Reklamcılık –
Hizmet Olarak SIEMHizmet Olarak SIEM

Teknik analiz

CRON#TRAP, “OneAmerica Survey” olarak gizlenen kötü amaçlı bir kısayol (‘.lnk’) dosyası içeren bir “kimlik avı e-postası” ile başlayan karmaşık bir siber saldırı kampanyasıdır.

OneAmerica Survey.zip (Kaynak - Securonix)OneAmerica Survey.zip (Kaynak - Securonix)
OneAmerica Survey.zip (Kaynak – Securonix)

Bu dosya yürütüldüğünde, meşru bir sanallaştırma aracı olan QEMU’yu (Quick Emulator) dağıtan ve algılamayı önlemek için “fontdiag.exe” olarak yeniden adlandırılan “285 MB’lık gizli bir paket” başlatır.

Şirket içi bir SOC oluşturun veya Hizmet Olarak SOC’yi dış kaynak olarak kullanın -> Maliyetleri Hesaplayın

Saldırı, “C2” sunucusuna otomatik olarak bağlantı kuran, önceden yapılandırılmış bir arka kapıyla tamamlanan, “Tiny Core Linux” çalıştıran gizli bir Linux ortamı yaratıyor.

Bu ortam “PivotBox” olarak adlandırılır ve kalıcı erişim için “SSH anahtarları” kullanılarak ana bilgisayar-sistem etkileşimi için “get-host-shell” ve “get-host-user” gibi özel komutlar içerir.

PivotBox (Kaynak - Securonix)PivotBox (Kaynak - Securonix)
PivotBox (Kaynak – Securonix)

Tehdit aktörleri, değiştirilmiş “boot local.sh” komut dosyaları ve “dosya aracı” aracılığıyla yedeklenen yapılandırmalar yoluyla kalıcılığı korurken sistemi manipüle etmek için vim, openssh ve 7zip dahil olmak üzere çeşitli araçlar kullandı. Ş. “

Bu kampanyanın öncelikli hedefleri “Kuzey Amerika” ve “Avrupa”dır. QEMU kullanması ve gizli bir sanal ortamda çalışması nedeniyle bu durum endişe vericidir; bu da geleneksel AV çözümlerinin tespitini son derece zorlaştırır.

Kötü amaçlı yazılımın gelişmiş altyapısı şunları içerir: –

  • Ağ test yetenekleri.
  • ‘Crondx’ adlı bir dosya aracılığıyla yük manipülasyonu.
  • Ücretsiz dosya paylaşım hizmetlerini kullanan veri sızdırma kanalları.

Bu, “uzun vadeli gizlilik” ve “sistemin tehlikeye atılması” için tasarlanmış, iyi planlanmış, çok aşamalı bir saldırı metodolojisini vurgulamaktadır.

“Crondx” (Chisel) analizi, önceden yapılandırılmış bir “64-bit ELF” çalıştırılabilir dosyasının kritik bir arka kapı mekanizması olarak hizmet ettiği “CRON#TRAP kampanyasında” bulunan karmaşık bir siber saldırı bileşenini ortaya koyuyor.

crondx (Kaynak - Securonix)crondx (Kaynak - Securonix)
crondx (Kaynak – Securonix)

Bu ELF yürütülebilir dosyası, bir Linux “QEMU” örneğinde “/home/tc/crondx” konumunda bulunur.

Golang tarafından derlenen bu ikili temel olarak “18.208.230” IP adresindeki bir C2 sunucusuyla “gizli iletişim kanalları” kurmak üzere tasarlanmış olsa da[.]Veri iletimi için “websocket protokollerini” kullanarak 174”.

Saldırı dizisi, ‘QEMU’ yoluyla taklit edilmiş bir Linux ortamı başlatmak için bir “PowerShell betiğini” tetikleyen “.lnk” kısayoluna sahip kötü amaçlı bir “ZIP” dosyası içeren bir kimlik avı e-postası yoluyla başlatılır.

Bu, geleneksel Windows tabanlı AV algılama sistemlerinden etkili bir şekilde kaçınmaya yardımcı olur. Tehdit aktörleri, SSH güvenliğiyle HTTP üzerinden meşru “TCP/UDP” tüneli oluşturmak için açık kaynaklı “Chisel tünelleme” aracını değiştirdi.

Bu, komut satırı yapılandırmaları gerektirmek yerine bağlantı parametrelerini doğrudan ikili dosyaya sabit kodlayarak yapılır, bu da “gizlilik yeteneklerinin” geliştirilmesine yardımcı olur.

Bu özelleştirilmiş uygulama, tehdit aktörlerinin tespit edilmeden komutları yürütmek ve verileri sızdırmak için ek yükler dağıtmasına olanak tanıyan “şifreli kanallar” aracılığıyla kalıcı uzaktan erişime olanak tanır.

“Değiştirilmiş başlangıç ​​komut dosyaları” ve “SSH anahtar uygulamaları” gibi çeşitli kalıcılık mekanizmaları, sistemin tehlikeye atılmasını daha da destekler.

Burada ‘get-host-shell’ ve ‘get-host-user’ gibi özel komut takma adları, yalıtılmış QEMU ortamında ana makineyle doğrudan etkileşimi kolaylaştırır.

.ash_history dosyası (Kaynak - Securonix).ash_history dosyası (Kaynak - Securonix)
.ash_history dosyası (Kaynak – Securonix)

“.ash_history” dosyası, tehdit aktörünün “araç kurulumu”, “sistem keşfi” ve “yük dağıtımı” gibi faaliyetlerini belgeliyor.

Güvenlik kontrollerinden kaçarken kalıcı erişimi sürdürmek için meşru yazılım araçlarını (‘QEMU’ ve ‘Chisel’) kullanan sistem sızmasına yönelik modüler bir yaklaşım gösterir.

Öneriler

Aşağıda tüm önerilerden bahsettik: –

  • İstenmeyen dosyaları veya ekleri indirmekten kaçının.
  • Harici indirme bağlantılarını potansiyel tehdit olarak değerlendirin.
  • Özellikle komut dosyaları için yaygın kötü amaçlı yazılım hazırlama dizinlerini izleyin.
  • Alışılmadık konumlardan çalışan meşru yazılımlara dikkat edin.
  • Daha iyi algılama için sağlam uç nokta günlüğünü etkinleştirin.

Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!



Source link