Golang tabanlı bir SOCKS5 Backconnect Proxy kötü amaçlı yazılım olan Ghostsocks, siber suç ekosisteminde önemli bir tehdit olarak ortaya çıktı.
İlk olarak Ekim 2023’te Rusça dili forumlarında tanımlanan dağıtım, 2024 ortasına kadar İngilizce konuşulan suç platformlarına genişledi.
Bu kötü amaçlı yazılım, bir Hizmet Olarak Kötü Yazılım (MAAS) modelinin bir parçası olarak çalışır ve tehdit aktörlerinin finansal kazanç için tehlikeye atılmış sistemlerden yararlanmasına izin verir.
Lummac2 bilgi stealer ile entegrasyonu, potansiyelini daha da artırarak gelişmiş kimlik bilgisi kötüye kullanımını sağlıyor ve kavrama karşıtı mekanizmaları atlıyor.
Ghostsocks ve Lummac2 arasındaki ortaklık, Şubat 2024’te resmileştirildi ve Lumma’nın Yönetim Paneli aracılığıyla otomatik sunum gibi özellikler sunuyor.
Ayrıca, Lumma kullanıcıları için indirimler benimsemeyi teşvik etti.
Ghostsocks, tespit etmekten kaçınmak için Garble ve Gofuscator gibi araçların kullanımı da dahil olmak üzere sandviç önleme teknikleri ve şaşkınlık yöntemleri kullanır.
Bu özellikler, finansal kurumlar gibi yüksek değerli sektörleri hedefleyen saldırganlar için tercih edilen bir seçim haline getiriyor.
Hayaletlerin teknik mekanizmaları
Özünde, Ghostsocks bir SOCKS5 Backconnect Proxy’yi, uzlaşmış sistemler aracılığıyla ağ trafiğini yeniden yönlendirmek için kullanır.
{
“BuildVersion”: “0ptk.pwh2dyj”, // <- Mevcut derleme sürümüne dahili bir referans
“MD5”: “BB85752657A9C31E68797E9BD30AC2”, // <- Diskte kötü amaçlı yazılımların MD5 karması, GetMDulehandle'den Gathed
“Proxyusername”: “Udosfugf”, // <- SOCKS5 Geri Bağlantı Kullanılacak Kullanıcı Adı
“Proxypassword”: “Udosfugf”, // <- SOCKS5 Geri Bağlantı Şifresi Kullanılacak
“UserID”: “GPN4WRGAEHJLGKUKKN33E4IDKC1OFRHA”, // <- Satış Ortaklığı tanımlaması muhtemel
}
Bu yaklaşım saldırganın kökenini maskeliyor ve coğrafi kısıtlamaları ve IP tabanlı güvenlik önlemlerini atlıyor.
Başlatma üzerine, kötü amaçlı yazılım, sabit kodlanmış veriler ve dinamik olarak hesaplanan değerler içeren gömülü bir yapılandırma yapısı oluşturur.
Bu yapılandırma, komut ve kontrol (C2) altyapısı ile iletişim kurmadan önce gizlenir ve yerel olarak saklanır.
Kötü amaçlı yazılım, HTTP API’lerini kullanarak röle tabanlı bir C2 iletişim işlemi başlatır.
SOCKS5 tünelleme için TCP bağlantıları kurmak için kullanılan Seviye 1 rölesi IP’leri ve bağlantı noktalarını elde etmek için ara sunucuları (Tier 2 röleleri) sorgular.
Bu, saldırganların kurbanın IP adresinden, finansal kurum güvenlik kontrollerini atlamak gibi hileli faaliyetler için kullanmalarını sağlar.
Infrawatch araştırmacıları, çeşitli ağlarda hayaletler ile ilişkili birden fazla C2 ve backconnect ana bilgisayarları belirlediler.
Bu sunucuların çoğu 3001 gibi bağlantı noktalarında çalışır ve Rusça konuşan sanal özel sunucu (VDS) sağlayıcılarında barındırılır.
Kötü amaçlı yazılımların belirli API anahtar hata yanıtları gibi tutarlı C2 davranış kalıplarına güvenmesi, savunuculara etkinliğini izleme fırsatı sunar.
Proxy’nin Ötesinde: Ek Arka Kapı Özellikleri
Ghostsocks, arka kapı yeteneklerini dahil ederek işlevselliğini çorapların ötesine uzatır.
Bunlar, keyfi komut yürütme, SOCKS5 kimlik bilgilerinin değiştirilmesi ve kötü amaçlı dosyaların indirilmesi ve yürütülmesini içerir.
Bu özellikler, saldırganların kalıcı erişimi sürdürmesini ve enfekte olmuş sistemleri daha da kullanmasını sağlar.
Ghostsocks, siber suç manzarasında backconnect proxy kötü amaçlı yazılımların artan metalaşmasını örneklendirir.
Lummac2 ile kesintisiz entegrasyonu ve Maas platformları aracılığıyla kullanılabilirliği, düşmanca araçların artan sofistike olduğunu vurgulamaktadır.
Siber güvenlik ekipleri, benzersiz C2 yanıtları gibi davranışsal göstergelerden yararlanarak, bu gelişen tehdide karşı savunmalarını artırabilir.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here