Kötü Amaçlı Yazılım Analizi için Ağ Araştırma Laboratuvarı Nasıl Kurulur?


Kötü Amaçlı Yazılım Analizi İçin Ağ Araştırma Laboratuvarı Nasıl Kurulur?

Outlook'ta bir güvenlik açığını (CVE-2024-21413) analiz etmek için, yerel bir sanal özel ağ (VPN) içindeki bir sanal makine (ANY.RUN) kullanılarak kontrollü bir ortam ayarlanabilir.

Araştırmacılar, bir kavram kanıtı (PoC) hazırlayarak ve işlevselliğini ayrı bir ortamda test ederek bu istismar hakkında daha fazla bilgi edinebilirler.

PoC yürütmesi sırasında, VPN içinde ağ trafiğini kaydetmek için Impacket gibi araçlar kullanılabilir ve bu, NTLM karmaları gibi özel verileri açığa çıkarabilir.

Bu verilerin analiz edilmesi, istismara özel güvenlik ihlali göstergelerini (IoC'ler) tanımlayabilir ve bunları gelecekteki saldırıları tanıyabilecek tespit kurallarının taslağını oluşturmak için kullanabilir.

Örnek olarak CVE-2024-21413'ü kullanarak IOC'leri toplamak ve algılama kurallarını yazmak için bir çalışma ortamının nasıl kurulacağından bahsedelim.

Soruşturmayı takip etmek için ANY.RUN'a kaydolabilirsiniz. Ücretsiz hesap oluştur.

CVE-2024-21413 Analizi: Yerel VPN'de PoC Oluşturma ve ANY.RUN Entegrasyonu

Bir e-postadaki kötü amaçlı bir bağlantıya tıklamak, Outlook'taki bir güvenlik açığından (CVE-2024-2143) yararlanarak saldırganların, kullanıcının farkında olmadan bir dosyayı sessizce indirip yürütmesine olanak tanır.

SMB kimlik doğrulaması girişimi sırasında kurbanın NTLM karmasını sızdırarak, potansiyel olarak saldırganlara ele geçirilen makinede yetkisiz kod yürütme yetenekleri sağlar.

Belirli bir dosya biçimindeki (RTF) dosya açıldığında rastgele kod yürütülmesine izin veren bir güvenlik açığından (CVE-2017-11882) yararlanmaya yönelik potansiyel bir sosyal mühendislik tekniği.

CVE-2017-11882'den yararlanma örneği

Metin, potansiyel olarak bazı e-posta güvenlik kontrollerini atlayarak kötü amaçlı bir URL'ye ünlem işareti (!) eklemenin teorik olasılığını vurguluyor.

Ünlem işaretine dikkat edin (“!”)

Bir sanal makineyi (saldırganın ana bilgisayarı) yerel ağa bağlamak için, saldırganın giriş noktası görevi gören bir OpenVPN sunucusunun kurulması gerekir.

Yerel VPN sunucumuzun IP adresi

Belirli kurulum süreci, karmaşıklığı nedeniyle ele alınmasa da, sunucu yapılandırması, istikrarlı bir internet bağlantısı için canlı tutma paketlerinin etkinleştirilmesini gerektirir.

Canlı tutma seçeneği içeren OpenVPN yapılandırma dosyasının bir parçası

Ayrıca sanal makinenin ağ bağlantısını kurabilmesi için ayrı bir istemci yapılandırma dosyası (OVPN) çok önemlidir.

Canlı tutma seçeneğiyle OVPN clientOpenVPN yapılandırma dosyasının bir parçası

OVPN istemci yapılandırma dosyası, “Özel OpenVPN yapılandırmaları” sekmesi aracılığıyla saldırganın sanal makine profiline yüklenir.

OpenVPN'e bağlanmak için Addia yeni istemci yapılandırması

Görevi çalıştırmadan önce yeni bir görev oluşturulur, örnek dosya yüklenir ve VPN yapılandırması seçilir.

Bağlantının “ping” yardımcı programıyla doğrulanması, HERHANGİ BİR ÇALIŞMA IP adresi “10.2.0.1” olan OpenVPN sunucusu aracılığıyla sanal makineyi yerel ağa bağlayın. Bu, daha fazla analiz için gerekli ağ bağlantısını kurar.

İstismarı analiz etmek:

Saldırgan, bu sunucunun erişebildiği bir dizine kötü amaçlı bir RTF dosyası yerleştirerek meşru bir dosya paylaşımını taklit etmek için Impacket kitaplığını kullanarak sahte bir SMB sunucusu kurar ve ardından RTF dosyasına bağlantı içeren bir e-posta oluşturur.

Alıcı bağlantıyı tıklattığında, e-posta istemcisindeki (muhtemelen Outlook) bir güvenlik açığından yararlanılır ve bu güvenlik açığı, istemciye RTF dosyasını doğrudan saldırganın sunucusundan indirmesi ve yürütmesi talimatını verir.

RTF dosyası daha sonra başka kötü amaçlı eylemleri tetikleyebilir ve istismarın başarısını doğrulamak için potansiyel olarak “winver.exe”yi başlatabilir.

Saldırganın sunucusu, bu işlem sırasında yapılan tüm kimlik doğrulama girişimlerini günlüğe kaydeder ve potansiyel olarak kurbanın şifresini kırmak için çevrimdışı kaba kuvvet saldırılarında kullanılabilecek kurbanın NTLM karma değerini yakalar.

Potansiyel saldırıları belirlemek ve engellemek için güvenlik analistleri, güvenlik ihlali göstergelerini (IOC'ler) toplar ve algılama kuralları oluşturur.

ANY.RUN gibi araçlar, CVE-2017-11882 istismarlarının tespit edilmesiyle kanıtlandığı gibi şüpheli etkinlikleri analiz etmek için kullanılabilir ve bu senaryoda kullanılan ve saldırılarda sıklıkla görülen “Impacket SMB Sunucusu”, kötü amaçlı amaçlara yönelik potansiyelini vurgular.

Ağ güvenliğini artırmaya yönelik bir yaklaşım, özellikle harici ağdaki SMB trafiğini hedefleyen ve NTLM tanımlayıcısını ve kimlik doğrulama mesajı türünü içeren paketleri arayan NTLM karma sızıntısını izleyen bir kural uygulamaktır.

Kural, bu üç koşulu karşılayarak potansiyel sızma girişimlerini işaretleyebilir ve daha fazla araştırmaya olanak sağlayabilir.

Yapabilirsiniz ANY.RUN ekibine ulaşın ANY.RUN'u kuruluşunuza entegre etmek için.

Bizi Google Haberler, Linkedin'den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.





Source link