Gelişmiş parmak izi alma teknikleri sayesinde, arama motoru sonuç sayfasındaki kötü amaçlı reklamları tespit etmek giderek zorlaşıyor
Tehdit aktörleri, güvenlik araştırmacıları tarafından başlatılan çalışmaları ve yayından kaldırma çabalarını sürekli olarak fark eder. Bu sürekli kedi ve fare kovalama oyununda, taktikler ve teknikler basitten daha karmaşık ve daha gizliye doğru gelişmeye devam ediyor.
Bu, oyun alanı ne olursa olsun, istismar kitlerinden kredi kartı korsanlarına kadar defalarca gözlemlediğimiz bir trend. Savunmacılar olarak karışık tepkiler verebiliriz: Bir yandan, teknik insanlar olarak, iyi yazılmış bir açığı veya kod parçasını ve bunun yarattığı zorluğu doğal olarak takdir ederiz. Bunda ilgimizi ve merakımızı uyandıran bir şey var. Öte yandan, arkasındaki kişilerin kötü niyetli olduğunu ve zarar verme niyetinde olduğunu biliyoruz.
Bugünün blog gönderisinde, radarın altında kalmak için daha gelişmiş bir gizleme tekniği kullanmaya başlayan yeni bir kötü amaçlı reklam zincirine bakıyoruz. İzlememize göre, fidye yazılımı operasyonlarında ilk erişim simsarları tarafından kullanılan bilgi hırsızları ve diğer kötü amaçlı yazılımları bırakan bu kötü amaçlı reklam kampanyaları için yeni bir trend.
Kötü amaçlı reklam ve gizleme
Tehdit aktörleri, Google gibi popüler arama motorlarında görüntülenen reklamlar oluşturarak uzaktan erişim programları ve tarayıcılar gibi belirli BT programlarını hedeflemeye devam ediyor. Aşağıdaki reklam, Gelişmiş IP tarayıcı aracı içindir ve bir ABD IP adresinden Google araması yapılırken bulundu.
Şekil 1: Advanced IP Scanner için Google’da kötü niyetli reklam
alan adı advnced-lp-scanner[.]com meşru görünebilir ama değil. 30 Temmuz 2023’te kaydedildi ve 185.11.61’de Rusya’daki bir sunucuda barındırılıyor.[.]65.
Bu reklamı araştıracak olsaydınız, muhtemelen sanal bir makinede açar ve neye yol açtığını görürdünüz. Tehdit aktörleri tarafından yapılan en yaygın kontrollerden biri, bir VPN veya proxy çalıştırıp çalıştırmadığınızı veya siteyi daha önce ziyaret edip etmediğinizi belirlemek için sunucu taraflı basit bir IP kontrolüdür. Bu, araştırmacılar olarak sürekli olarak meşru görünen yeni IP adresleri bulmamız ve ardından sayfayı tekrar ziyaret etmemiz gerektiği anlamına gelir.
İlginç bir şekilde, yeni bir IP adresiyle bile açılış sayfası masum görünüyordu. Bu, örneğin tehdit aktörü siteyi kurma sürecindeyse ve siteyi kötü niyetli sürümle değiştirmeyi bitirmemişse, farklı nedenlerle olabilir. Ya da günün saati, saldırganın geçiş yaptığı saatle uyumlu olmayabilir.
Şekil 2: İndirilecek herhangi bir kötü amaçlı yazılım içermeyen sahte sayfa
Gelişmiş parmak izi
Reklamdan web sunucusuna gelen ağ isteklerine daha yakından baktığımızda, şüpheli görünen yeni bir kod gördük. Bu, sayfada her şeyden önce yüklenen Base64 kodlu JavaScript’tir.
Aslında bu istemci tarafı isteği, IP adresinizin temiz olup olmadığını belirlemek için sunucu tarafında yapılan bir IP kontrolünden sonra gerçekleştirildi. Başka bir deyişle, bu, ne aradığımızı görmeden önce işlenmesi gereken başka bir katmandır.
Şekil 3: Şüpheli Base64 kodlu kod
CyberChef’i kullanarak bu kodun şifresini çözebilir ve ne yaptığını görmek için daha da güzelleştirebiliriz. İşte o kontrollerden bazıları:
- pencere ve ekran boyutu gibi tarayıcı özellikleri
- saat dilimi (UTC ile yerel saat arasındaki fark)
- video kartı sürücüsüyle ilgili tarayıcı oluşturma yetenekleri
- MP4 dosya biçimi için MIME türü
Şekil 4: Şifresi çözülmüş parmak izi komut dosyası
Araştırmacılar tarafından kullanılan birçok araç Python’da yazılmıştır ve testte başarısız olacaktır. Aynısı sanal makineler için de geçerli, WEBGL_debug_renderer_info API, VMware veya VirtualBox gibi sanallaştırma kullanıp kullanmadığınızı tespit etmenize yardımcı olabilir.
Ziyaretçilerden toplanan veriler daha sonra, daha fazla ayrıştırma ve sonraki eylemin belirlenmesi için bir POST isteği yoluyla saldırganın web sitesine geri gönderilir.
Şekil 5: Kurbanın ayrıntılarını saldırgana gönderen POST isteği
Aşağıda, kurbanın kötü amaçlı yazılım yükünü indirebileceği kötü amaçlı sayfaya başarılı bir yeniden yönlendirmenin web trafiği görünümü yer almaktadır.
Şekil 6: Kötü amaçlı reklamdan yük sayfasına giden web trafiği
Bu da kötü amaçlı yazılım açılış sayfasıdır:
Şekil 7: Parmak izi kontrollerini başarıyla geçtikten sonra kötü amaçlı yazılım giriş sayfası
Artık yükü toplayabilir ve algılandığından emin olabiliriz.
Çözüm
Tehdit aktörleri, potansiyel kurbanları kötü amaçlı yazılıma yönlendirmeden önce daha iyi filtreleme kullanarak, kötü amaçlı reklamlarının ve altyapılarının daha uzun süre çevrimiçi kalmasını sağlar. Savunucuların bu tür olayları belirlemesini ve raporlamasını zorlaştırmakla kalmaz, aynı zamanda muhtemelen alt etme eylemleri üzerinde de bir etkisi vardır. Kötü amaçlı reklam olaylarını bildirdiğimiz vakaların çoğunda, kötüye kullanılan platformun reklamverene karşı işlem yapmadan önce bilgileri doğrulaması gerekir.
Raporlar hatalı olabileceğinden ve reklam hesaplarının haksız yere askıya alınmasına yol açabileceğinden bu mantıklıdır. Ancak bu aynı zamanda, bir olay araştırılırken ve çoğaltılırken (bu saatler sürebilir), insanların bu reklamlara tıklayıp kötü amaçlı yazılım indireceği anlamına da gelir.
Kötü amaçlı reklam kampanyalarını raporlamaya devam ettikçe, tehdit aktörlerinin TTP’lerine ilişkin anlayışımızı geliştiriyor ve araç setlerimizi buna göre ayarlıyoruz. Toplanan herhangi bir istihbarat, ürünlerimiz içinde paylaşılır ve nihai olarak Malwarebytes müşterilerine, korunmalarını sağlamak için web ve kötü amaçlı yazılım koruma güncellemeleri aracılığıyla iletilir.