Hükümet ve Asya’daki yüksek teknoloji kuruluşlarında Microsoft Exchange sunucularını hedefleyen son derece sofistike bir kötü amaçlı yazılım kampanyası.
GhostContainer olarak adlandırılan kötü amaçlı yazılım, kritik altyapıya kalıcı arka kapı erişimini sağlamak için bilinen N-Day güvenlik açıklarından yararlanır.
Key Takeaways
1. GhostContainer uses CVE-2020-0688 vulnerability to create persistent backdoors.
2. Three-stage architecture enables web proxy, tunneling, and stealth operations within legitimate Exchange traffic.
3. APT campaign compromised government agencies and tech companies across Asia.
Gelişmiş arka kapı özellikleri ve kaçınma teknikleri
Kaspersky, GhostContainer kötü amaçlı yazılımlarının (app_web_container_1.dll, SHA256: 87a3aefb5cdf714882eb2eb7a5ddeaee4b6b6b441b7a5ddeae4b6b6b441b2168e-funalhung6 ile gösterdiğini gösterdiğini bildirdi. Mimarlık.
Kötü amaçlı yazılım, her biri farklı operasyonel amaçlara hizmet veren STUB, APP_WEB_843E75CF5B63 ve APP_WEB_8C9B251FB5B3’ten oluşan üç sınıf bir yapı kullanır.
Tespitten kaçınmak için, kötü amaçlı yazılım AMSI.dll ve ntdll.dll’deki belirli adreslerin üzerine yazarak AMSI’yi (antimal yazılım tarama arabirimi) ve Windows olay günlüğünü hemen atlamaya çalışır.
Arka kapı, güvenli komut ve kontrol iletişimi için 32 bayt AES şifreleme anahtarı oluşturmak için makine yapılandırmasından alınan ve makine yapılandırmasından alınan ve Hashed SHA-256 kullanılarak Exchange Server’ın ASP.NET doğrulama anahtarını kullanır.
Kötü amaçlı yazılımlar, Shellcode yürütme, dosya manipülasyonu, .NET bayt kodu yükleme ve HTTP posta isteklerini eşzamanlı olarak birden fazla URL’ye dahil olmak üzere on dört farklı komut işlemini destekler.
Her komut, araştırmacıların açık kaynaklı ExchangeCmdpy.py sömürü aracıyla bağlantılı olduğu sabit kodlu String /Wepdwukltcyodc4 içeren XML biçimlendirilmiş yanıtlar üretir.
GhostContainer Exchange Flaw’dan yararlanır (CVE-2020-0688)
Analiz, GhostContainer’ın çoklu açık kaynaklı projelerden yararlandığını, özellikle de ExchangeCmdpy.py ile benzerlikleri kodladığını ve değişim sunucularında bir searizasyon kırılganlığı olan CVE-20120-0688’in sömürülmesini önerdiğini ortaya koymaktadır.
Saldırı, dosya sistemi kontrollerini atlamak için VirtualProvider sınıflarını kullanarak hayalet sayfalar oluşturan APP_WEB_843E75CF5B63 sınıfı aracılığıyla sofistike bir sanal sayfa enjeksiyon mekanizması kullanıyor.
Kötü amaçlı yazılımların web proxy bileşeni App_web_8c9b251fb5b3, neo-regeorg tünelleme aracına ve özel başlıklar aracılığıyla işlemlere dayanmaktadır: proxy yönlendirme için QPRTFVA ve soket iletişimi için dzvvlnwkccf.
Bu çift fonksiyonellik, iç ağlar ve harici komut altyapısı arasında hem Web proxy işlemlerini hem de uzun ömürlü TCP tünel kurulumunu mümkün kılar.
Mevcut telemetri, GhostContainer’ın en az iki yüksek değerli hedefi başarıyla tehlikeye attığını göstermektedir: kilit bir devlet kurumu ve her ikisi de Asya’da bulunan yüksek teknolojili bir şirket.
Kötü amaçlı yazılım tasarımı, özellikle devlet ortamlarında değişim altyapısını hedeflemekte ve kritik ulusal altyapıya karşı odaklanmış bir APT kampanyası önermektedir.
Geleneksel kötü amaçlı yazılım kampanyalarından farklı olarak, GhostContainer harici C2 altyapısına doğrudan bağlantılar kurmadan çalışır.
GhostContainer C2 komutları ve işlevselliği
| Komut kimliği | İşlevsellik |
|---|---|
| 0 | Sistem mimarisi türünü alın (örn., X86 veya X64). |
| 1 | Kabuk kodu olarak alınan verileri çalıştırın. |
| 2 | Bir komut satırı yürüt. |
| 3 | Bir alt iş parçacığına .NET bayt kodunu yükleyin. |
| 4 | Bir GET isteği gönderin. |
| 5 | Bir dosyayı indirin ve kaydedin. |
| 6 | Sağlanan ham verileri bir dosyaya kaydedin. |
| 7 | Bir dosyayı sil. |
| 8 | Dosya içeriğini okuyun. |
| 9 | Çıktı ile bir .NET programı yürüt. |
| 10 | Sanal sayfa enjektörünü çağırın (App_Web_843e75cf5b63). |
| 11 | “App_global” içeren dosyaları adlarında silin. |
| 14 | Birden çok URL’ye aynı anda HTTP Gönderi isteği gerçekleştirin. |
Bunun yerine, saldırganlar, meşru değişim web istekleri içindeki kontrol komutlarını gizleyerek dış ağlardan ödün verilen sunuculara bağlanır.
Saldırının sofistike doğası, kötü amaçlı yazılımların hem arka kapı hem de ağ tüneli olarak işlev görme yeteneği ile birleştiğinde, değişim sistemleri ve web servis operasyonlarının derin bir anlayışıyla yüksek vasıflı ve profesyonel bir tehdit oyuncunun katılımını gösterir.
GhostContainer Uzlaşma Göstergeleri (IOC)
| Gösterge Türü | Değer |
|---|---|
| Dosya adı | App_Web_Container_1.dll |
| MD5 | 01d98380dfb9211251c75c87ddb3c79c |
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi birini deneyin. Şimdi