Güvenlik Liderlerinin Bilmesi Gerekenler


StrelaStealer'ın Kötü Amaçlı Yazılım Dirilişi: Güvenlik Liderlerinin 2024'te Bilmesi Gerekenler

2023 DBIR raporuna göre çalınan kimlik bilgileri, bilgisayar korsanlarının bir kuruluşa erişmesinin en yaygın yoludur. CyOps analisti olarak, EpeyceTehdit aktörlerinin faaliyetlerini izleyen ve Cynet müşterilerini koruyan uzmanlardan oluşan ekibiyle, siber suçluların kullanıcı adlarını ve şifreleri nasıl çaldığını, ardından bu kaldırılan giriş bilgilerini hedef kuruluşlara zarar vermek için nasıl acımasızca kullandığını gördüm.

Hasar, özellikle büyük bütçelere sahip olmayan ve bir ihlale hızlı bir şekilde müdahale edecek geniş güvenlik ekiplerine sahip olmayan küçük ve orta ölçekli işletmeler (KOBİ’ler) için felaket olabilir. Bu nedenle, KOBİ BT güvenlik liderlerinin, risklere maruz kalma risklerini azaltmak için uygun fiyatlı önlemlerle kuruluşlarının güvende olmasını sağlamaları çok önemlidir.

Kimlik bilgileri hırsızlığının mekanizmaları ve hafifletilmesinin yanı sıra bilgisayar korsanlarının diğer favori giriş noktalarına ilişkin daha derin bir teknik inceleme için, İzlemenizi şiddetle tavsiye ederim En İyi 3 KOBİ Saldırı Vektörünün Güvenliğini Sağlama.”

Şimdi, bu yazıda, güncel bir kimlik bilgisi hırsızlığı örneğini inceleyeceğiz:Strela Hırsızı—kötü amaçlı yazılımın özelliklerini ve yeteneklerini belirlemek ve kuruluşunuzu etkilemesini engellemek için gerekli tespitleri ve önlemeleri belirlemek.

StrelaStealer’ın Yeni Numaraları

Büyük bir StrelaStealer kampanyası yakın zamanda yüzlerce ABD ve AB merkezli şirketi sarstı. StrelaStealer, adından da anlaşılacağı gibi bir hırsızdır. Amacı, öncelikli olarak Thunderbird ve Outlook e-posta hesaplarına odaklanarak kurban makinelerdeki e-posta oturum açma bilgilerini almaktır.

StrelaStealer ilk kez Kasım 2022’nin başlarında gözlemlendiğinde, hırsızın DLL yükünü yandan yükleyen veya daha karmaşık bir yöntemle yükü bir DLL/HTML çok dilli olarak yürüten bir .LNK dosyası içeren bir ISO dosyası olarak dağıtılmıştı.

Bu dağıtım yöntemi gelişti. Bu en son kampanyada, StrelaStealer’ın hedefin ne konuştuğuna bağlı olarak çeşitli dillerde kimlik avı e-postaları yoluyla teslim edildiğini görüyoruz.

Burada, bu kimlik avı e-postasında, kullanıcıların bir PDF faturası ekinde olduğu iddia edilen bir zip dosyası ekini açmaya nasıl kandırıldığını görebiliriz:

Bir bilgisayarın ekran görüntüsü Açıklama otomatik olarak oluşturuldu

Zip dosyası aslında “18262829011200.js” adında bir JavaScript dosyası içeriyor:

Bir bilgisayarın ekran görüntüsü Açıklama otomatik olarak oluşturuldu

Artık statik ve dinamik analizler yaparak o dosyayı değerlendirebilir, işlevselliğini ve yeteneklerini anlayabiliriz.

Statik Analiz

İlk olarak statik analiz. StrelaStealer’ın kaynak kodu, potansiyel güvenlik sorunlarının belirtileri açısından ayrıştırılabilir.

Dosyayı bir metin düzenleyicide incelemek birkaç heyecan verici komutu ortaya çıkarır:

  1. Aşağıdaki komutlar, karakterleri değişken adlarıyla değiştiren, karmaşık bir komut dosyasına benzer:
    Bir bilgisayarın ekran görüntüsü Açıklama otomatik olarak oluşturuldu

Kodun karmaşıklığını giderdiğimizde, “returnready.dll” adlı bir DLL dosyasını oluşturmak ve sonuçta çalıştırmak için yerel Windows uygulamalarını kullanan birkaç komut içerdiğini görebiliriz:

Bir bilgisayarın ekran görüntüsü Açıklama otomatik olarak oluşturuldu

  1. Ek dizeler, karakterleri değişken olarak ayarlamak için aynı yöntemi kullanarak daha karmaşık kod gösterir:
    Bir bilgisayar ekranının ekran görüntüsü Açıklama otomatik olarak oluşturuldu

Kodu çözüldükten sonra, wscript’in ‘shell’ yönteminin cmd.exe’yi çalıştırmak ve %temp% dizininde “trousersperpetual.bat” dosyasını oluşturmak için nasıl kullanıldığını görebiliriz:

Bir bilgisayar kodunun ekran görüntüsü Açıklama otomatik olarak oluşturuldu

  1. Son olarak dosyada çok büyük bir base64 kodlu dize gözlemlendi:
    Beyaz zemin üzerine yeşil metin Açıklama otomatik olarak oluşturuldu

Dizenin kodunu çözerek bunun taşınabilir bir yürütülebilir (PE) dosya olduğunu görebiliriz:

Bir bilgisayarın ekran görüntüsü Açıklama otomatik olarak oluşturuldu

Dinamik Analiz

Sonraki, dinamik analiz. StrelaStealer, saldırı akışını adım adım ortaya çıkarmak için kontrollü bir ortamda çalıştırılabilir.

“18262829011200.js” dosyasının wscript.exe aracılığıyla yürütülmesi üzerine cmd.exe, .js dosyasının içeriğinin bir kopyasını oluşturmak için kullanılır ve bu daha sonra ana bilgisayarda “C:\Users\*\AppData dosyası olarak kaydedilir” \Yerel\Sıcaklık\pantolonperpetual.bat”:

Bir bilgisayarın ekran görüntüsü Açıklama otomatik olarak oluşturuldu

Cmd.exe, “C:\Users\*\AppData\Local\Temp\” dosyasındaki “findstr” komutunu çalıştırarak devam eder.pantolonperpetual.bat”, “marrywise” kelimesini içermeyen tüm dizeleri arıyor ve sonucu “C:\Users\*\AppData\Local\Temp\ dosyasına kaydediyor”muhteşem gelişme”.

Bu dosya, statik analizimizde bulunan büyük base64 dizesini içerir:

Bir bilgisayarın ekran görüntüsü Açıklama otomatik olarak oluşturuldu

Daha sonra yeni oluşturulan base64 kodlu dosyanın kodunu çözmek için certutil.exe çağrılır.muhteşem gelişme” “C:\Users\*\AppData\Local\Temp\ dosyasınareturnready.dll”.

Bu aslında StrelaStealer’ın yük dosyasıdır:

Bir bilgisayarın ekran görüntüsü Açıklama otomatik olarak oluşturuldu

Dosya “returnready.dll” daha sonra rundll32.exe aracılığıyla yürütülür ve bu, ana bilgisayarın Outlook ve Thunderbird e-posta hesabı verilerini tehdit aktörünün komuta ve kontrol (C2) sunucusuna sızdırmadan önce numaralandırmaya devam eder.

Bir bilgisayarın ekran görüntüsü Açıklama otomatik olarak oluşturuldu
İlk Erişim Uygulamak Savunmadan Kaçınma Toplamak Komuta ve kontrol Sızma
E-dolandırıcılık Komut ve Komut Dosyası Tercümanı Dosyaların veya Bilgilerin Gizlemesini Kaldırma/Kodunu Çözme E-posta Koleksiyonu Uygulama Katmanı Protokolü Otomatik Süzme
Kullanıcı Yürütme Karmaşık Dosyalar veya Bilgiler C2 Kanalı Üzerinden Süzme
Sistem İkili Proxy Yürütme

StrelaStealer nasıl tespit edilir

Cybersecurithttps://go.cynet.com/top-3-sme-attack-vectors?utm_source=gbhackers&utm_medium=sponsored_article&utm_campaign=Q2-sponsored-webinarsy ekipleri, StrelaStealer’ın özelliklerini ve yeteneklerini anlayarak, korumalarının hırsızın organizasyonunu tehlikeye atmasını önler.

Çünkü Epeyce StrelaStealer’ı kolayca tespit edip önleyebiliyorsa, StrelaStealer’ın tam akışını yürütmesine izin vermek için hepsi bir arada siber güvenlik çözümünü algılama modunda (önleme olmadan) yapılandıracağız. Bu simüle edilmiş yürütme, Cynet’in saldırının her adımını tespit edip kaydetmesine olanak tanırken, StrelaStealer’ın iki spesifik Cynet tespitini nasıl tetiklediğini vurguluyor.

1. Diske Dökülmüş Dosya

Cynet’in AV/AI motoru, kötü amaçlı dosyaların diske atıldığını veya çalıştırılmaya çalışıldığını algılar:


Bir bilgisayarın ekran görüntüsü Açıklama otomatik olarak oluşturuldu
Bir bilgisayarın ekran görüntüsü Açıklama otomatik olarak oluşturuldu
Bir bilgisayarın ekran görüntüsü Açıklama otomatik olarak oluşturuldu

Süreç İzleme

Cynet’in Süreç İzleme mekanizması, kötü amaçlı DLL dosyasının kodunu çözmek için Certutil.exe’nin kullanıldığını algılar:

Bir bilgisayarın ekran görüntüsü Açıklama otomatik olarak oluşturuldu

For further guidance to safeguard your SME, don’t miss Securing the Top 3 SME Attack Vectors.” And make sure your team is empowered by an affordable, easy to use solution, such as Cynet’s all-in-one cybersecurity platform, which is purpose-built for small teams. After all, the future of your organization is too important to gamble.



Source link