Bilgisayar korsanları genellikle verileri iletmek ve ağ güvenlik önlemlerini gizlice atlamak için DNS ve ICMP tünelini kötüye kullanır.
Genellikle zayıf korunan güvenlik duvarları tarafından etkinleştirilen tüm bu protokoller, hassas verileri dışarı aktarmak veya yetkisiz kullanıcılar için giriş noktaları oluşturmak amacıyla gizli iletişim yolları oluşturmak üzere manipüle edilebilir.
Bu kaçırma tekniği, tehdit aktörlerinin kalıcılığını korumasına ve güvenliği ihlal edilmiş ağlarda tespit edilmekten kaçınmasına olanak tanır.
Positive Technologies araştırmacıları yakın zamanda ExCobalt’ın yeni aracı GoRed’in C2 sunucu iletişimi için DNS ve ICMP tünellemeyi kullandığını keşfetti.
GoRed, DNS ve ICMP Tünelini Kullanıyor
Finansal kurumlara yönelik saldırılarıyla bilinen Cobalt’ın bir uzantısı olması muhtemel bir grup siber suçlu olan ExCobalt, yeni keşfedilen bir Go arka kapısını kullanıyor.
PT ESC CSIRT ekibi, müşterilerinin kuruluşlarından birinde meydana gelen bir olaya müdahale ederken bu durumla karşılaştı.
Free Webinar on API vulnerability scanning for OWASP API Top 10 vulnerabilities -> Book Your Spot
ExCobalt, en azından 2016’dan beri muhtemelen Kobalt çetesinden gelen bir siber casusluk grubudur.
Ancak ExCobalt, 2022 yılına kadar Kobalt ile eşanlamlı olacak olan CobInt aracını benimsedi.
PT ESC, geçen yıl farklı sektörlerdeki Rus kuruluşlarına yönelik ExCobalt ile bağlantılı çok sayıda saldırı bildirdi ve diğer olayları araştırdı.
Aşağıda GoRed arka kapısının tüm temel özelliklerinden bahsettik: –
- Komutları yürütmek için C2 çerçevesi
- C2 iletişimi için RPC protokolü
- İletişim için DNS/ICMP tünelleme, WSS ve QUIC
- Güvenliği ihlal edilmiş sistemlerden kimlik bilgileri toplama
- Veri toplama
- Kurban ağlarında keşif yetenekleri
- Özel bir sunucuya veri serileştirme, şifreleme, arşivleme ve sızdırma
Mart 2024’te bir müşterinin Linux ana bilgisayarında meydana gelen bir olay araştırılıyordu; bunun sonucunda, 2019’un “Red Team” sitesiyle ilişkilendirilebilecek, scrond adlı bir UPX dosyasına sıkıştırılmış GoRed olarak bilinen Go tabanlı bir araç tespit edildi.
Ancak Temmuz 2023 ve Ekim 2023’te Mimikatz, ProcDump, SMBExec, Metasploit ve Rock gibi diğer araçlarla birlikte bulunduğunda, önceki müşteri olayı yanıtlarında bu arka kapının birden fazla çeşidiyle karşılaşıldığı durumlar vardı.
.webp)
GoRed’in C2 sunucuları leo.rpm-bin.link, sula.rpm-bin.link, lib.rest ve rosm.pro’yu içeriyordu; ExCobalt ise lib.rpm-bin.link, get.rpm-bin.link ve leo gibi alanları kullanıyordu .rpm-bin.link.
Bu, CLI’ye bağlı bir kontrol akışıdır ve önce komutları başlatır, ardından kontrolü CLI’ye aktarır.
Öncelikle gain kalıcılığı için servis komutu başlatılıyor ve bize sistem kalıcılığı sağlanıyor.
Varlığını sürdürmek için “BB” ile başlayan ortam değişkenleri yaratır. Ayrıca kontrol akışı, işaret modunda giriş noktası görevi gören geko komutuna geçer.
Protokol seçeneğine bağlı olarak taşıma konfigürasyonundan C2’yi alır ve işaret etkinliğini başlatır. Bu kötü amaçlı yazılım, kurbanları belirlemek için bilgisayar bilgilerinin karma işlemini yaparak bir kimlik oluşturur.
C2’yi başlatıp bağladıktan sonra, işaret işlevine kaydolmak için RPC protokolü kullanılır.
Dosya sistemini izlemek için kuş gözlemcisini çalıştırır, kalp atışı periyodunu ayarlar, izler ve kalp atışı moduna girmek için mevcut komutları başlatır.
C2 iletişimi, AES-256-GCM şifrelemeli özel CBOR serileştirmesini kullanan RPC’yi kullanır.
Yapılandırma yerleşik (Base64 kodlu, msgpack serileştirilmiş) ve taşıma bloklarını içerir. DNS tünelleme Base64 veya Base32’yi kullanır ve arka plan komutları sürekli olarak çalışır.
ExCobalt, GoRed’i veri toplama, gizlilik ve güvenlik açıklarından yararlanmaya yönelik yeni özelliklerle geliştirmeye devam ediyor.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free