Kuruluşları hedefleyen ‘Decoy Dog’ kötü amaçlı yazılım araç seti, yakın zamanda Infoblox’taki güvenlik analistleri tarafından 70 milyar DNS kaydını ve tipik çevrimiçi davranıştan farklı olan trafiği analiz ederek ortaya çıkarıldı.
Decoy Dog, Nisan 2023’ün başlarında keşfedildi ve etki alanı eskitme ve DNS sorgusu top sürme taktiklerini kullanan Decoy Dog kötü amaçlı yazılımı, tehdit aktörlerinin geleneksel algılama yöntemlerinden kaçınmasına yardımcı oluyor.
Bu strateji, destekleyici siber suç faaliyetlerine geçmeden önce güvenlik sağlayıcıları nezdinde olumlu bir itibar oluşturmalarını sağlar.
Decoy Dog, internetteki 370 milyon aktif alan adına kıyasla son derece nadir ve belirgin bir DNS parmak izine sahiptir ve bu, tanımlanmasını ve izlenmesini kolaylaştırır.
Teknik Analiz
Decoy Dog’un altyapısına yapılan soruşturmanın ardından operasyonla ilgili çok sayıda C2 alanı belirlendi. Bu sunucu iletişimlerinin çoğu, Rus tabanlı ana bilgisayarlardan ortaya çıktı.
Bunun dışında bu domainlerdeki DNS tünelleri analiz edilirken Decoy Dog toolkit tarafından kullanılan bir RAT tespit edilmiş ve RAT “Pupy RAT” olarak adlandırılmıştır.
Devlet destekli tehdit aktörleri, diğer kullanıcılarla uyum sağlamalarına ve şifreli C2 iletişimlerini desteklemelerine olanak tanıyan modülerliği, açık kaynak doğası ve gizli yetenekleri (dosyasız yürütme) nedeniyle Pupy RAT’ı tercih eder.
Aşağıda, Nisan 2023’ün başlarında şüpheli etkinlik nedeniyle işaretlenen alanlardan bahsetmiştik:-
- cbox4[.]yok sayılan liste[.]iletişim
- ön cephe[.]açık
- hsdps[.]cc
- ads-tm-glb[.]tıklamak
- atlas-upd[.]iletişim
- izin verilenler listesine alındı[.]açık
Tüm büyük işletim sistemlerinde, Pupy RAT projesi yükleri destekler ve aşağıda işletim sistemi platformlarından bahsetmiştik: –
- pencereler
- Mac os işletim sistemi
- linux
- Android
Aşağıda, Pupy RAT’ın yeteneklerinden bahsetmiştik: –
- Komutların uzaktan yürütülmesini sağlar
- Ayrıcalıkları yükseltin
- Kimlik bilgilerini çalmak
- Bir ağ aracılığıyla yanal olarak yayılma
C2 iletişimleri için uygun DNS sunucusu yapılandırmasının ayarlanması karmaşık olduğundan ve daha az deneyimli aktörler için uygun olmadığından, daha az deneyimli aktörler genellikle Pupy RAT kullanmazlar.
Birden çok parçayı kapsayan DNS imzası, ilişkili etki alanlarının, büyük işletmelerde veya kuruluşlarda bulunanlar gibi tüketici olmayan cihazlarda belirgin bir şekilde Pupy RAT kullanan Decoy Dog araç setinin parçası olduğuna dair yüksek düzeyde kesinlik sağladı.
Decoy Dog’s Toolkit’in Özellikleri
Aşağıda, Decoy Dog’un araç setinin özelliklerinden bahsetmiştik:-
- Sıçan izmaritleri
- Benzersiz DNS İmzası
- DNS İşaretleme
- Aykırı Davranış
- Paylaşılan Evsahipliği
- Kayıt Benzerlikleri
- Kurumsal Odak
Analistler ayrıca tüm Decoy Dog etki alanlarında, belirli aralıklarla seyrek ama düzenli DNS isteklerinin oluşturulmasına uyan benzersiz bir DNS işaretleme modeli saptadı.
Decoy Dog, Nisan 2022’den bu yana gizlice faaliyet gösteriyor ve analitik araç seti alanlarında olağandışı etkinlik tespit etmesine rağmen bir yılı aşkın süredir fark edilmedi.
İnternetin devasa yapısındaki anormal etkinliklerin saptanması, büyük ölçekli veri analitiği kullanılarak mümkün kılındı ve Decoy Dog’un keşfi bunun mükemmel bir örneği.
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin