Cyble Araştırma ve İstihbarat Laboratuvarı (CRIL) yakın zamanda, öncelikle PowerShell komut dosyaları tarafından yönlendirilen karmaşık, çok aşamalı bir enfeksiyon zincirini ortaya çıkardı. Kuruluşları çeşitli saldırı vektörleri aracılığıyla hedef alan bu kampanya, kalıcılığı sürdürmek, güvenlik önlemlerini atlatmak ve daha fazla kötü amaçlı faaliyete olanak sağlamak için tasarlandı.
Bu analizden elde edilen en ilginç bulgulardan biri, düşmanın yanal hareketlerinde ve komuta ve kontrol (C&C) operasyonlarında çok önemli bir rol oynayan Keski tünel açma aracının kullanılmasıdır.
PowerShell Kampanyasından Önemli Çıkarımlar
CRIL’in bu PowerShell tabanlı saldırıya ilişkin derinlemesine araştırması, görünüşte zararsız bir LNK dosyasıyla başlayan, karmaşık, çok aşamalı bir enfeksiyon sürecini ortaya çıkardı. Bu LNK dosyası yürütüldüğünde, ek kötü amaçlı yükler indiren bir dizi karmaşık PowerShell betiğinin ilkini tetikler. Enfeksiyonun her aşaması, sonuncunun üzerine inşa edilir ve nihai amaç, tehdit aktörünün (TA) ele geçirilen sistem ve ağ üzerinde tutunmasını sağlamaktır.
Bu kampanyada PowerShell komut dosyalarının kullanılması, tehdit aktörünün tespitten kaçarken karmaşık saldırı stratejileri yürütmek için yerel Windows araçlarından yararlanma konusundaki uzmanlığını vurguluyor. Ek olarak, bir Chisel DLL dosyasının bulunması, TA’nın bu aracı gizli tünel bağlantıları kurmak için de kullandığını, böylece güvenlik duvarlarını atlamalarına ve korumalı dahili ağlara sızmalarına olanak tanıdığını gösteriyor.
Çok Aşamalı PowerShell Kampanyası
Saldırı, ilk enfeksiyon vektörü olarak hizmet veren kötü amaçlı bir LNK (Windows kısayolu) dosyasıyla başlar. LNK dosyasının tam dağıtım mekanizması belirsiz olsa da, yürütüldüğünde bulaşma sürecini başlatan bir PowerShell betiğini tetikliyor. Algılanmayı önlemek için gizlenen bu komut dosyası, uzak bir sunucudan ikincil bir PowerShell komut dosyasını indirir ve çalıştırır. Bu ilk aşama komut dosyasının amacı, daha fazla kötü amaçlı veri yükleyerek kurbanın sisteminde kalıcılık oluşturmaktır.
İlk PowerShell betiği yürütüldükten sonra, sistem yeniden başlatıldıktan sonra bile enfeksiyonun devam etmesini sağlamak için tasarlanmış birkaç toplu iş dosyasıyla birlikte ikinci aşama bir PowerShell betiğini bırakır. İkinci aşamadaki komut dosyası, saldırganın C&C sunucusuyla iletişimi sürdürerek, enfeksiyonun üçüncü ve son aşamasını getirmesine olanak tanır.
Üçüncü aşama PowerShell betiği en karmaşık olanıdır ve bir komut zinciri almak için C&C sunucusuyla sürekli iletişim kurar. Bu komutlar, veri sızdırma, ağ içinde yanal hareket ve daha fazla veri dağıtımı dahil olmak üzere çeşitli kötü amaçlı etkinlikleri gerçekleştirmek için kullanılabilir.
PowerShell ve Gizleme Teknikleri
Bu saldırının kritik bir bileşeni, saldırı zincirini yürütmek için birincil araç olarak PowerShell’in kullanılmasıdır. PowerShell’in güçlü yetenekleri, saldırganın geleneksel güvenlik mekanizmalarını atlamasına ve gizli kalmasına olanak tanır. Örneğin ilk PowerShell betiği, yürütme politikasını “Bypass” olarak ayarlar ve bu, standart Windows savunmaları tarafından engellenmeden çalışmasına olanak tanır. Ek olarak, komut dosyası gizli modda yürütülür ve bu da onu kullanıcıya görünmez kılar.
Saldırının İkinci ve Üçüncü Aşamaları
İkinci aşama PowerShell betiği, ek kötü amaçlı yükleri almak için C&C sunucusuyla iletişimi sürdürür. İlk aşamada olduğu gibi, bu komut dosyalarının kodunu çözer ve çalıştırarak enfeksiyon zincirini sürdürür.
Üçüncü aşamada PowerShell betiği daha karmaşık bir şekilde çalışır. İletişim durumunu izlemek için $CHAIN ve güvenlik sistemleri tarafından tespit edilmekten kaçınmak için rastgele gecikmeler sağlamak üzere $JITTER dahil olmak üzere C&C sunucusuyla etkileşimini kontrol etmek için değişkenler ayarlar. Komut dosyası ayrıca, sunucuyla bağlantı kurmak için kullanmadan önce Base64’ün kodladığı ana bilgisayar adı gibi sistem bilgilerini almaya devam eder.
Bu aşamada betik, C&C sunucusundan bir dizi komutu alıp yürütebilir. Komut bir “WAIT” talimatı değilse, komut dosyası sağlanan PowerShell kodunu yürütür. Etkilenen sistem ile C&C sunucusu arasındaki iletişim, geleneksel güvenlik önlemleri tarafından tespit edilmekten kaçınmak için veriler küçük parçalar halinde aktarılarak kalıcı ve gizli olacak şekilde tasarlanmıştır.
Gizli Operasyonlar için Keskiden Yararlanmak
Bu kampanyanın ilgi çekici bir yönü, saldırganın HTTP üzerinden güvenli bir iletişim kanalı kurmasına ve güvenlik duvarı kısıtlamalarını atlamasına olanak tanıyan hızlı bir TCP/UDP tünelleme aracı olan Chisel’in kullanılmasıdır. Keski, tehdit aktörleri tarafından ele geçirilen ağlarda yanal hareketi sağlamak ve geleneksel iletişim kanalları engellendiğinde bile kalıcılığı sürdürmek için yaygın olarak kullanılır.
CRIL’in analizi, virüslü sistemde bir Chisel DLL dosyası buldu; bu, TA’nın, ele geçirilen makine ile C&C sunucusu arasında bir tünel oluşturmak için Chisel’i kullanabileceğini gösteriyor. Bu tünel, saldırganın normalde harici erişime karşı korunan dahili sistemlerle iletişim kurmasına olanak tanır.
Keski aracı çeşitli kötü amaçlı amaçlarla kullanılabilir. Birincil işlevlerden biri, iç ağları diğer savunmasız sistemler açısından taramaktır. TA, Chisel istemcisini güvenliği ihlal edilmiş bir makineye konuşlandırarak, ağ savunmalarını atlamak ve Nmap gibi araçları kullanarak keşif gerçekleştirmek için onu bir SOCKS proxy’si olarak kullanabilir.
Dahili sistemler belirlendikten sonra saldırgan, daha önce izole edilmiş sistemlere erişim sağlayarak ağ boyunca yanal olarak hareket etmesini sağlayan bir tünel oluşturmak için Keski’yi kullanabilir. Ayrıca Chisel istemcisi, saldırganın aksi takdirde bağlantısı kesilebilecek makineler için internet erişimini etkinleştirmesine, ek yükler indirmesine ve ele geçirilen ağ üzerinde kontrolü sürdürmesine olanak tanır.
Vekalet Verme ve Kaçınma Teknikleri
Kampanya aynı zamanda saldırganın C&C iletişimini gizlemesine yardımcı olan Netskope proxy’sini de kullanıyor. Trafiği Netskope proxy üzerinden yönlendirerek TA, güvenlik duvarları ve izinsiz giriş tespit sistemleri gibi geleneksel ağ savunmalarının tespitinden kaçınabilir. Bu proxy tabanlı iletişim, TA’nın virüslü ağla etkileşime girmesi ve tehlikeye atılan sistemler üzerinde kontrolü sürdürmesi için esnek ve güvenli bir yöntem sağlar.
Chisel’in Netskope proxy ile birlikte kullanılması, saldırganın güvenlik duvarlarını atlamasına, dahili sistemleri taramasına ve tespit edilmeden verilere sızmasına olanak tanır. Bu çok katmanlı yaklaşım, kötü amaçlı etkinlikleri gizlemek için meşru araçlardan ve proxy’lerden yararlandığından, savunucuların saldırıyı tespit etmesini ve engellemesini son derece zorlaştırıyor.
İlgili