2023 DBIR raporuna göre çalınan kimlik bilgileri, bilgisayar korsanlarının bir kuruluşa erişmesinin en yaygın yoludur. CyOps analisti olarak, EpeyceTehdit aktörlerinin faaliyetlerini izleyen ve Cynet müşterilerini koruyan uzmanlardan oluşan ekibiyle, siber suçluların kullanıcı adlarını ve şifreleri nasıl çaldığını, ardından bu kaldırılan giriş bilgilerini hedef kuruluşlara zarar vermek için nasıl acımasızca kullandığını gördüm.
Hasar, özellikle büyük bütçelere sahip olmayan ve bir ihlale hızlı bir şekilde müdahale edecek geniş güvenlik ekiplerine sahip olmayan küçük ve orta ölçekli işletmeler (KOBİ’ler) için felaket olabilir. Bu nedenle, KOBİ BT güvenlik liderlerinin, risklere maruz kalma risklerini azaltmak için uygun fiyatlı önlemlerle kuruluşlarının güvende olmasını sağlamaları çok önemlidir.
Kimlik bilgileri hırsızlığının mekanizmaları ve hafifletilmesinin yanı sıra bilgisayar korsanlarının diğer favori giriş noktalarına ilişkin daha derin bir teknik inceleme için, İzlemenizi şiddetle tavsiye ederim “En İyi 3 KOBİ Saldırı Vektörünün Güvenliğini Sağlama.”
Şimdi, bu yazıda, güncel bir kimlik bilgisi hırsızlığı örneğini inceleyeceğiz:Strela Hırsızı—kötü amaçlı yazılımın özelliklerini ve yeteneklerini belirlemek ve kuruluşunuzu etkilemesini engellemek için gerekli tespitleri ve önlemeleri belirlemek.
StrelaStealer’ın Yeni Numaraları
Büyük bir StrelaStealer kampanyası yakın zamanda yüzlerce ABD ve AB merkezli şirketi sarstı. StrelaStealer, adından da anlaşılacağı gibi bir hırsızdır. Amacı, öncelikli olarak Thunderbird ve Outlook e-posta hesaplarına odaklanarak kurban makinelerdeki e-posta oturum açma bilgilerini almaktır.
StrelaStealer ilk kez Kasım 2022’nin başlarında gözlemlendiğinde, hırsızın DLL yükünü yandan yükleyen veya daha karmaşık bir yöntemle yükü bir DLL/HTML çok dilli olarak yürüten bir .LNK dosyası içeren bir ISO dosyası olarak dağıtılmıştı.
Bu dağıtım yöntemi gelişti. Bu en son kampanyada, StrelaStealer’ın hedefin ne konuştuğuna bağlı olarak çeşitli dillerde kimlik avı e-postaları yoluyla teslim edildiğini görüyoruz.
Burada, bu kimlik avı e-postasında, kullanıcıların bir PDF faturası ekinde olduğu iddia edilen bir zip dosyası ekini açmaya nasıl kandırıldığını görebiliriz:
Zip dosyası aslında “18262829011200.js” adında bir JavaScript dosyası içeriyor:
Artık statik ve dinamik analizler yaparak o dosyayı değerlendirebilir, işlevselliğini ve yeteneklerini anlayabiliriz.
Statik Analiz
İlk olarak statik analiz. StrelaStealer’ın kaynak kodu, potansiyel güvenlik sorunlarının belirtileri açısından ayrıştırılabilir.
Dosyayı bir metin düzenleyicide incelemek birkaç heyecan verici komutu ortaya çıkarır:
- Aşağıdaki komutlar, karakterleri değişken adlarıyla değiştiren, karmaşık bir komut dosyasına benzer:
Kodun karmaşıklığını giderdiğimizde, “returnready.dll” adlı bir DLL dosyasını oluşturmak ve sonuçta çalıştırmak için yerel Windows uygulamalarını kullanan birkaç komut içerdiğini görebiliriz:
- Ek dizeler, karakterleri değişken olarak ayarlamak için aynı yöntemi kullanarak daha karmaşık kod gösterir:
Kodu çözüldükten sonra, wscript’in ‘shell’ yönteminin cmd.exe’yi çalıştırmak ve %temp% dizininde “trousersperpetual.bat” dosyasını oluşturmak için nasıl kullanıldığını görebiliriz:
- Son olarak dosyada çok büyük bir base64 kodlu dize gözlemlendi:
Dizenin kodunu çözerek bunun taşınabilir bir yürütülebilir (PE) dosya olduğunu görebiliriz:
Dinamik Analiz
Sonraki, dinamik analiz. StrelaStealer, saldırı akışını adım adım ortaya çıkarmak için kontrollü bir ortamda çalıştırılabilir.
“18262829011200.js” dosyasının wscript.exe aracılığıyla yürütülmesi üzerine cmd.exe, .js dosyasının içeriğinin bir kopyasını oluşturmak için kullanılır ve bu daha sonra ana bilgisayarda “C:\Users\*\AppData dosyası olarak kaydedilir” \Yerel\Sıcaklık\pantolonperpetual.bat”:
Cmd.exe, “C:\Users\*\AppData\Local\Temp\” dosyasındaki “findstr” komutunu çalıştırarak devam eder.pantolonperpetual.bat”, “marrywise” kelimesini içermeyen tüm dizeleri arıyor ve sonucu “C:\Users\*\AppData\Local\Temp\ dosyasına kaydediyor”muhteşem gelişme”.
Bu dosya, statik analizimizde bulunan büyük base64 dizesini içerir:
Daha sonra yeni oluşturulan base64 kodlu dosyanın kodunu çözmek için certutil.exe çağrılır.muhteşem gelişme” “C:\Users\*\AppData\Local\Temp\ dosyasınareturnready.dll”.
Bu aslında StrelaStealer’ın yük dosyasıdır:
Dosya “returnready.dll” daha sonra rundll32.exe aracılığıyla yürütülür ve bu, ana bilgisayarın Outlook ve Thunderbird e-posta hesabı verilerini tehdit aktörünün komuta ve kontrol (C2) sunucusuna sızdırmadan önce numaralandırmaya devam eder.
| İlk Erişim | Uygulamak | Savunmadan Kaçınma | Toplamak | Komuta ve kontrol | Sızma |
| E-dolandırıcılık | Komut ve Komut Dosyası Tercümanı | Dosyaların veya Bilgilerin Gizlemesini Kaldırma/Kodunu Çözme | E-posta Koleksiyonu | Uygulama Katmanı Protokolü | Otomatik Süzme |
| Kullanıcı Yürütme | Karmaşık Dosyalar veya Bilgiler | C2 Kanalı Üzerinden Süzme | |||
| Sistem İkili Proxy Yürütme |
StrelaStealer nasıl tespit edilir
Cybersecurithttps://go.cynet.com/top-3-sme-attack-vectors?utm_source=gbhackers&utm_medium=sponsored_article&utm_campaign=Q2-sponsored-webinarsy ekipleri, StrelaStealer’ın özelliklerini ve yeteneklerini anlayarak, korumalarının hırsızın organizasyonunu tehlikeye atmasını önler.
Çünkü Epeyce StrelaStealer’ı kolayca tespit edip önleyebiliyorsa, StrelaStealer’ın tam akışını yürütmesine izin vermek için hepsi bir arada siber güvenlik çözümünü algılama modunda (önleme olmadan) yapılandıracağız. Bu simüle edilmiş yürütme, Cynet’in saldırının her adımını tespit edip kaydetmesine olanak tanırken, StrelaStealer’ın iki spesifik Cynet tespitini nasıl tetiklediğini vurguluyor.
1. Diske Dökülmüş Dosya
Cynet’in AV/AI motoru, kötü amaçlı dosyaların diske atıldığını veya çalıştırılmaya çalışıldığını algılar:
Süreç İzleme
Cynet’in Süreç İzleme mekanizması, kötü amaçlı DLL dosyasının kodunu çözmek için Certutil.exe’nin kullanıldığını algılar:
For further guidance to safeguard your SME, don’t miss “Securing the Top 3 SME Attack Vectors.” And make sure your team is empowered by an affordable, easy to use solution, such as Cynet’s all-in-one cybersecurity platform, which is purpose-built for small teams. After all, the future of your organization is too important to gamble.