Kurumsal bir ağda tehdit avcılığına içeriden bir bakış

   Mayıs 25, 2023  Posted in MalwareBytes


Malwarebytes MDR, bir şirketin güçlü bankacılık Truva Atı QBot’u tespit etmesine ve yanıt vermesine nasıl başarılı bir şekilde yardımcı oldu?

Malwarebytes’te, KOBİ’ler için tehdit avcılığının önemi hakkında çok konuşuyoruz ve bu da boşuna değil. Bir tehdit aktörü bir ağı ihlal ettiğinde hemen saldırmayacağını bir düşünün. Sistem güvenliğinin aşılması ile tespit edilmesi arasındaki ortalama süre 21 gündür.

O zamana kadar, genellikle çok geç olur. Veriler toplandı veya fidye yazılımı dağıtıldı.

Tehdit avı, ağda sessizce pusuda bekleyen, gizli verileri sızdıran ve “krallığın anahtarlarına” erişmek için kimlik bilgilerini arayan, bunun gibi oldukça karmaşık tehditlerin bulunmasına ve düzeltilmesine yardımcı olur.

Küçük ve orta ölçekli işletmeler (KOBİ’ler) için kötü haber: Manuel olarak yoğun ve maliyetli tehdit avlama araçları, bu uygulamayı genellikle gelişmiş bir siber güvenlik modeli ve iyi personele sahip bir güvenlik operasyon merkezi (SOC) olan daha büyük kuruluşlarla sınırlar.

Malwarebytes Yönetilen Algılama ve Yanıt (MDR) burada devreye giriyor.

Malwarebytes MDR, bir kuruluşun ortamının siber saldırı belirtilerine karşı 24 saat izlenmesini sağlayan bir hizmettir.

Ancak konuşmak ucuz: Malwarebytes MDR’nin bir şirketin QBot olarak bilinen güçlü bir bankacılık Truva Atı’nı tespit etmesine ve yanıt vermesine başarılı bir şekilde yardımcı olduğu gerçek zamanlı bir bakalım.

Olay

Güvenlik nedeniyle açıklanmayan bir tarihte, 1. Şirket olarak adlandıracağımız saygın bir petrol ve gaz şirketinin ağına bir izinsiz giriş yaşandı. suçlu Kakbot (QBot olarak da bilinir).

QBot, oturum açma kimlik bilgileri, finansal veriler ve kişisel bilgiler gibi hassas bilgileri çalma ve hatta güvenliği ihlal edilmiş sisteme sızmak için ek kötü amaçlı yazılımlar için arka kapılar oluşturma yetenekleriyle ünlüdür. Dahası, güvenliği ihlal edilmiş makinelere uzaktan erişimi de kolaylaştırır.

QBot’un son zamanlarda PDF’ler ve Windows Komut Dosyaları (WSF) kullanılarak bir kimlik avı kampanyasının parçası olarak dağıtıldığı gözlemlendi.

Resimli QBot kampanyası (Kaynak: Jerome Segura | Malwarebytes Labs)

QBot saldırıları, tehdit aktörleri bir e-posta zincirine kötü amaçlı bir bağlantı veya ek içeren bir yanıt verdiğinde yanıt zinciri kimlik avı e-postasıyla başlar.

İptal mektubu kılığına girmiş bir PDF eki taşıyan, Fransızca bir örnek yanıt zinciri kimlik avı e-postası. (Kaynak: BleepingComputer)

E-posta zincirindeki biri ekli PDF’yi açtığında, “Bu belge korumalı dosyalar içeriyor, onları görüntülemek için ‘aç’ düğmesine tıklayın” şeklinde bir mesaj görür. Düğmeye tıklamak, WSF komut dosyasını içeren bir ZIP dosyasını indirir.

Ağır biçimde gizlenmiş betik, çalıştırıldığında bir PowerShell’i tetikleyen ve ardından sabit kodlanmış URL’ler listesinden QBot DLL’yi indiren bir JS ve VBScript kodu karışımı içerir. Bu betik, Windows Temp klasörüne (%TEMP%) bir dosya indirilene ve yürütülene kadar her URL’yi dener.

QBot çalıştığında, internet bağlantısını kontrol etmek için bir PING komutu verir. Ardından, arka planda sessizce çalışması için meşru bir Windows Hata Yöneticisi programı olan wermgr.exe’ye kendini enjekte eder.

enfeksiyon

Şirket 1’deki ilk bulaşma, ağlarındaki bir dizüstü bilgisayara kadar izlendi. Kullanılan kötü amaçlı Qakbot Base64’te kodlanmış bir PowerShell betiğini başlatmak için WSCRIPT.EXE tarafından yürütülen Windows Betik Dosyası (WSF).

Nebula’daki Şüpheli Etkinlik sayfasının altındaki İşlem Grafiği kutucuğu, şüpheli etkinliğin dokunduğu dosyaların veya işlemlerin görsel bir temsilini gösterir.

Daha fazla ayrıntı görüntülemek için düğüme tıkladığımızda, WSCRIPT.EXE’nin, Base64 kodlu bir komut yürüten bir PS örneği oluşturan bir Windows Komut Dosyası Dosyasını yürütmek için kullanıldığını görüyoruz.

Kötü amaçlı kodlanmış PowerShell komut dosyasını gösteren düğüm ayrıntısı.

Bu komut dosyası sabırlı ve gizli olacak şekilde tasarlanmıştır.

Muhtemelen kötü amaçlı web sitelerine yol açan bir URL dizisi oluşturmadan önce 4 saniyelik bir bekleme süresi başlattı. Kötü amaçlı yazılım daha sonra her URL’den bir dosya indirmeye çalıştı ve her dosyanın minimum 100.000 bayt boyutunda olup olmadığı kontrol edildi, bu da anlamlı bir içerik gereksinimi anlamına geliyor. İndirme başarısız olursa komut dosyası sonraki URL’ye geçmeden önce 4 saniye bekler.

İndirilen dosyalar kullanılarak yürütüldü PowerShell örneğinden çağrılan RUNDLL32.EXE Windows yardımcı programı. Bu, ” olarak adlandırılan indirilen dosyaya izin verdi.FreeformOzarkite.marseillais,” kötü amaçlı yükünü yüklemek ve yürütmek için.

RUNDLL32.EXE, etkilenen kullanıcının geçici klasöründeki “FreeformOzarkite.marseillais” dosyasında depolanan kötü amaçlı bir yükü veya modülü yürütmek için önceki PowerShell örneğinden çağrıldı.

Kötü amaçlı DLL

olarak tanımlanan belirli bir DLL dosyası zibkwyxdtpcrqshpuqkoomcoba.dllQakbot enfeksiyonu tarafından yürütülen kötü amaçlı kodlardan biri olduğu bulundu.

Kötü amaçlı DLL dosyasının yürütüldüğünü gösteren düğüm ayrıntısı (zibkwyxdtpcrqshpuqkoomcoba.dll).

Bu DLL’nin ayrışması, aşağıdakiler de dahil olmak üzere birkaç hain işlevi ortaya çıkardı:

  • Diğer işlemlere kod enjeksiyonu.
  • Chrome ve Outlook şifreleri, Wi-Fi şifreleri ve Bitcoin cüzdanları gibi hassas verilerin toplanması.
  • Ekran görüntüleri yakalama.
  • Sistemi daha fazla saldırılara karşı daha savunmasız hale getirmek için Kullanıcı Hesabı Denetimini (UAC) devre dışı bırakmak gibi sistem ayarlarını değiştirmek.
  • Veri hırsızlığı ve uzaktan komut yürütme için bir uzak komut ve kontrol (C&C) sunucusuyla iletişim.

Ekip ayrıca, WHOAMI.EXE Ve IPCONFIG.EXE:

  • vay / hepsi
  • ipconfig / tümü

Veri Sızdırma ve Düzeltme

Kötü amaçlı yazılım, toplanan verileri bilinen bir Qakbot C2 IP adresine göndermeye çalıştı. Burası muhtemelen çalınan verilerin kötü niyetli aktörler tarafından toplanıp analiz edileceği yerdir.

Ancak, Malwarebytes MDR ekibi derhal bu tehdidi tespit etti ve kontrol altına aldısistemi enfeksiyondan temizlemek, 1. Şirket’i olay hakkında bilgilendirmek ve gelecekteki tavizleri önlemek için eyleme geçirilebilir tavsiyeler sağlamak gibi adımlar atmak.

MDR ile tehdit avı

Malwarebytes MDR nasıl çalışır?

Saldırganlar bir ağı ele geçirdikten sonra potansiyel olarak iki haftadan fazla fark edilmeden kalabileceğinden, tehdit avcılığı küçük ve orta ölçekli işletmeler için çok önemlidir.

Ne yazık ki, tehdit avcılığı karmaşıktır ve özel bir SOC ve tecrübeli siber güvenlik personeli gerektirir, bu da çoğu KOBİ’nin bu önemli güvenlik uygulamasını kullanmasını engeller.

Bu makalede, Malwarebytes MDR’nin oynayabileceği önemli rolü özetledik. Qakbot gibi tehditleri ortaya çıkarma, yönetme ve düzeltmeiş aksamasından ve mali kayıplardan kaçınmanıza yardımcı olur.

Malwarebytes MDR ve tehdit avcılığı hakkında daha fazla bilgi edinmek ister misiniz? Teklif için aşağıdaki linke tıklayınız.

Qbot saldırılarını bugün durdurun



Source link