Çinli tehdit aktörleri arasında popüler olan ve kaynak kodu kamuya açık olan Gh0st RAT adlı uzaktan kumandalı kötü amaçlı yazılım, Çin’in C. Rufus Güvenlik Ekibi tarafından oluşturuldu.
ASEC (AhnLab Güvenlik Acil Durum Müdahale Merkezi), MS-SQL sunucularını hedef alan, kötü amaçlı yazılım varlığını gizleyen ve kaldırılmasını önleyen Gizli bir rootkit kullanan Gh0st RAT varyantını bulur.
HiddenGh0st, 2022’den beri devam eden ve muhtemelen Çinli kullanıcıları hedef alan QQ Messenger veri hırsızlığı yeteneklerine sahip bir Gh0st RAT çeşididir.
ASEC’deki siber güvenlik araştırmacıları yakın zamanda HiddenGh0st kötü amaçlı yazılımının kötü yönetilen MS-SQL ve MySQL sunucularını aktif olarak hedeflediğini ve saldırdığını bildirdi.
Bilgisayar Korsanları MS-SQL ve MySQL Sunucularına Saldırıyor
HiddenGh0st, 0x848 boyutlu yapılandırma verilerini iletirken PE dosyasını bellekte paketleyerek, şifresini çözerek ve yürüterek tespitten kaçınır.
Bunun yanı sıra aşağıdaki hususları da kapsar: –
- Komut ve Kontrol URL’si
- Kurulum yöntemi
- Yol
- Dosya adı
- Rootkit aktivasyonu
İndirici iş parçacığının URL’si gibi yapılandırma verilerindeki devre dışı bırakılan seçenekler, harici kötü amaçlı yazılım indirmelerini tetiklemiş olabilir.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Başka bir seçenek, virüslü sistemin genel IP adresini http’den alır[:]//www[.]taobao[.]com/help/getip[.]Etkinleştirildiğinde php, C&C sunucusuna gönderiliyor.
HKLM\SYSTEM\Select’te yapılandırılmış ‘Hizmet’ modu, kurulum süresini ‘MarkTime’ olarak kaydeder ve HiddenGh0st’i ‘-auto’ argümanıyla başlatarak bir hizmet olarak ayarlar.
Yapılandırma, 0x00800000 boyutlu verileri ekleyerek sahte veri boyutunu belirtir. Bundan sonra orijinal dosya silinir ve HiddenGh0st ‘-acsi’ argümanıyla bir hizmet olarak yeniden başlatılır.
HKLM\SYSTEM\Select’te yapılandırılmış ‘Başlangıç Klasörü’ modu, kurulum süresini ‘MarkTime’da saklar, ardından HiddenGh0st, DefineDosDeviceA() API’sini kullanarak kendisini kopyalar.
Bundan sonra sembolik bir ‘.\agmkis2’ bağlantısı oluşturur, sahte veriler ekler, ardından kopyalanan kötü amaçlı yazılımı çalıştırır ve orijinal olanı siler.
Toplanan veri
Aşağıda, toplanan tüm verilerden bahsettik: –
- 0x66
- Windows sürüm bilgisi
- işlemci hızı
- CPU sayısı
- Genel IP adresi
- Özel IP adresi
- Etkilenen sistemin ana bilgisayar adı
- Web kamerası sayısı
- İnternet bağlantısı gecikme süresi
- Ağ arayüzü hızı
- Hafıza kapasitesi
- Yerel disk kapasitesi
- BITS kaydının “Varsayılan” dizesi (yapılandırma verilerinden şifresi çözülmüş) veya “5750b8de793d50a8f9eaa777adbf58d4” değeri
- Sistem önyükleme süresi
- “1.0” (versiyon)
- Kurulu güvenlik ürünlerinin listesi
- Wow64 kullanılabilirliği
- Kötü amaçlı yazılım yükleme süresi (MarkTime)
- QQ Messenger numarasına giriş yapıldı
- Son tuş girişinden bu yana 3 dakika geçip geçmediği
- İnternet bağlantı durumu (MODEM, LAN, PROXY)
Belirli anahtar kelimeler için işlem adlarının taranmasıyla toplanan güvenlik ürünü bilgileri: –
“360tray.exe”, “360sd.exe”, “kxetray.exe”, “KSafeTray.exe”, “QQPCRTP.exe” ,”HipsTray.exe” ,”BaiduSd.exe” ,”baiduSafeTray.exe” ,”KvMonXP.exe” ,”RavMonD.exe” ,”QUHLPSVC.EXE” ,”QuickHeal” ,”mssecess.exe” ,”cfp.exe”, “SPIDer.exe”, “DR.WEB”, “acs.exe”, “Outpost”, “V3Svc.exe” ,”AYAgent.aye” ,”avgwdsvc.exe” ,”AVG” ,”f-secure.exe” ,”F-Secure” ,”avp.exe” ,”Mcshield.exe”, “NOD32”, “knsdtray.exe”, “TMBMSRV.exe”, “avcenter.exe”, “ashDisp.exe” ,”rtvscan.exe” ,”remupd.exe” ,”vsserv.exe”, “BitDefender”, “PSafeSysTray.exe”, “ad-watch.exe”, “K7TSecurity.exe”, “UnThreat.exe”, “UnThreat”
HiddenGh0st, yapılandırma verilerinden “1.0” sürüm bilgisi ve “Varsayılan” tanımlayıcı dahil olmak üzere orijinal Gh0st RAT özelliklerini genişletir. Etkinleştirilen keylogger, verileri %SystemDirectory% dizinine “6gkIBfkS+qY=.key” olarak kaydeder.
Ayrıca HiddenGh0st, çıkarılan verileri C&C sunucusuna göndermek için aşağıdakileri yapar: –
- Mimikatz’ı yükleyin
- Hesap kimlik bilgilerini ayıklar
Dış tehditleri engellemek ve devam eden enfeksiyonları önlemek için güçlü parolalar, düzenli değişiklikler ve güvenlik duvarları gibi güncellenmiş güvenlik araçlarıyla MS-SQL sunucularını kaba kuvvet saldırılarına karşı koruyun.
IOC’ler
MD5
- 69cafef1e25734dea3ade462fead3cc9: HiddenGh0st
- 0d92b5f7a0f338472d59c5f2208475a3: Gizli x86 Rootkit (QAssist.sys)
- 4e34c068e764ad0ff0cb58bc4f143197: Gizli x64 Rootkit (QAssist.sys)
K&K
- leifenghackyuankong.e3.luyouxia[.]net:14688
850’den fazla üçüncü taraf uygulamaya hızla yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.