Araştırmacılar, son etkinliğinden altı ay sonra kötü amaçlı bir Excel Dosyası kullanarak Windows kullanıcılarını hedef alan, kötü şöhretli ve yaygın olarak dağıtılan bir kötü amaçlı yazılım olan Emotet’i ortaya çıkardı.
Emotet, ayak izi ve agresif dağıtım yöntemi nedeniyle 2014’ten beri uzun süredir kötü amaçlı yazılım araştırma topluluğu arasında bir tür kötü amaçlı yazılım ailesi olarak kabul ediliyor. Eğitim kurumları, devlet, savunma, BT dahil olmak üzere çeşitli sektörlerden hassas ve özel bilgileri çalmak için geliştirildi. , Telekom ve ayrıca dünya çapında milyonlarca kişi.
Emonet’in arkasındaki kötü amaçlı yazılım geliştiricileri ve bağlı kuruluşları, farklı bir dağıtım yöntemi kullandı ve Microsoft Office belgelerini, ağırlıklı olarak önceki saldırılarda kullanılan ortak bir şekilde kullanıyor.
Yakın zamanda tespit edilen bir kampanya, daha önce tanımlanmış benzer saldırıların aksine, farklı taktikler kullanarak silahlandırılmış bir Excel dosyası kullanmıştır.
Teknik Analiz:
Araştırmacılar, bu Emotet kampanyasında tanımlanan ortak karakterlere dayanarak, saldırganların ekleri olan rastgele kötü niyetli e-postalar kullanarak dağıtıldığına ve e-postayı birden fazla formülden oluşan excel sayfasında beyaz metinle birlikte dağıttığına inanıyor.
Saldırganlar, yakın geçmişte tanımlanan her kampanyada çeşitli farklı özellikler kullanıyor.
Ahnlab araştırmacıları tarafından belirlenen ve Cyber Security News’e bildirilen aşağıdaki dikkate değer tekniği inceleyelim.
- Kullanıcılardan hücre makrosunu etkinleştirmesini istemek için farklı bir yöntem.
- Sayfa koruma özelliğinin eklenmesi.
- Emotet ikili dosyasının yürütme yönteminde yapılan değişiklikler.
Saldırganların kullanıcıları doğrudan Makro’yu etkinleştirmeleri için kandırdığı önceki yöntemlerin aksine, Emotet önceki saldırılarda aşağıdaki yöntemleri kullanmıştır.
Emotet’in arkasındaki saldırganlar şimdi yöntemleri Makro Etkinleştir olarak değiştiriyor ve kurbanları aşağıdaki ifadeyle belgeyi yeniden başlatmaya zorluyor:
Güvenlik politikanızın gereksinimlerine uygun olarak, belgenin içeriğini görüntülemek için dosyayı aşağıdaki klasöre kopyalayıp yeniden çalıştırmanız gerekir.
Microsoft Office 2013 x32 ve öncesi için – C:\Program Files\Microsoft Office (x86)\Templates
Microsoft Office 2013 x64 ve öncesi için – C:\Program Files\Microsoft Office\Templates
Microsoft Office 2016 x32 ve üstü için – C:\Program Files (x86)\Microsoft Office\root\Templates
Microsoft Office 2016 x64 ve üstü için – C:\Program Files\Microsoft Office\root\Templates
İkinci senaryoda, saldırganlar sayfayı gizlemeden önce Formül Makrosunu dahil etti ve kurbanların dahil edilen formül makrosunu görememesini sağlamak için sayfa korumasını kullandı.
Tehdit aktörleri, sayfa içindeki verilerin analizini ve algılanmasını önlemek için bu numarayı kullanır. “Analizimiz, sayfa korumasını devre dışı bırakmak için parolanın ‘ABBAABBBB^‘. Ahnlabs, sayfa koruması devre dışı bırakıldığında, sayfa içinde dağınık ve gizli veriler bulunur” dedi.
Bu yeni kampanyada kullanılan son bir numara, ikili yürütme yönteminin yeni uzantıya yükseltildiği Emotet ikili dosyasının yürütme yönteminde değişir.
Önceki yöntemlerde, saldırganlar hedeflenen Windows sisteminde ikili dosyayı çalıştırmak için rundll32.exe aracılığıyla bir .ocx dosya uzantısı kullanıyorlardı, şimdi ise regsvr32.exe aracılığıyla bir .ooccxx dosya uzantısına geçti.
- C:\Windows\System32\regsvr32.exe /S .. \oxnv1.ooccxx
- C:\Windows\System32\regsvr32.exe /S .. \oxnv2.ooccxx
Kullanıcılara, bilinmeyen ve güvenilmeyen kaynaklardan gelen belge dosyalarını açmaktan kaçınmaları tavsiye edilir.
Uzlaşma Göstergeleri
MD5
– 65d9d5c0a65355b62f967c57fa830348
– 64389305b712201a7dd0dc565f3f67e6
– 87fdbba19c131e74fbe2f98b135751d5
– 4aea7dd048106492a8c3d200924a3c39
C&C ve İndirme
– hxxps://aldina[.]jp/wp-admin/YvD46yh/
– hxxps://www.alliance-habitat[.]com/cache/lE8/
– hxxps://anguklaw[.]com/microsoft-clearscript/oVgMlzJ61/
– hxxps://andorsat[.]com/css/5xdvDtgW0H4SrZokxM/
Hizmet Olarak Sızma Testi – Red Team & Blue Team Workspace’i İndirin