Unix benzeri sistemlerdeki xattr komutu, Lazarus Group gibi tehdit aktörleri tarafından görünüşte zararsız dosyalar içindeki kötü amaçlı yükleri gizlice gizlemek için kullanılan Rustyattr olarak bilinen Windows ADS’ye benzer şekilde gizli meta verilerin dosyalara yerleştirilmesine olanak tanır.
Lazarus Grubu, geleneksel algılama yöntemlerinden kaçan ve şu anda MITRE ATT&CK Çerçevesi tarafından tanınmayan bir teknik olan xattr’yi kullanarak kötü amaçlı verileri sistem dosyalarına gizlice yerleştiriyor ve savunucuları bu kalıcı saldırılara karşı savunmasız bırakıyor.
xattr, Unix benzeri sistemlerdeki dosyaların yanı sıra etiketler, bayraklar veya ikili veriler gibi ek meta verileri depolamak için bir mekanizma sağlayarak standart niteliklerin ötesinde esnek dosya yönetimi ve organizasyona olanak tanır.
macOS xattr, sistem meta verileri için yararlı olsa da, saldırganlar tarafından dosyalar içindeki kötü amaçlı verileri gizlemek için kullanılabilir; bu da potansiyel olarak güvenlik önlemlerini atlar ve tespit çabalarını engeller.
Analyze cyber threats with ANYRUN's powerful sandbox. Black Friday Deals : Get up to 3 Free Licenses.
“secret.txt” adında bir metin dosyası oluşturulur ve “çok gizli değil” içeriğiyle doldurulur. Daha sonra, dosyaya “com.example.hidden_data” adlı gizli bir öznitelik eklemek için “xattr” komutu kullanılır ve genişletilmiş öznitelikleri içinde ek, gizli veriler depolanır.
‘xattr secretfile.txt’ komutu, belirtilen dosyayla ilişkili genişletilmiş öznitelikleri listelerken, ‘xattr -p user.hidden_data secretfile.txt’, ‘user.hidden_data’ özniteliği içinde saklanan gizli verileri ortaya çıkarır.
‘xattr -d com.example.hidden_data secret.txt’ komutu, “com.example.hidden_data” adlı genişletilmiş özniteliği “secret.txt” dosyasından kaldırır ve bu, dosyayla ilişkili gizli verileri etkili bir şekilde ortadan kaldırır.
Grup, kötü amaçlı kodları gizlemek için macOS’un genişletilmiş özniteliklerinden (xattr) yararlanıyor ve geleneksel güvenlik araçları tarafından tespit edilmekten kaçınıyor; bu da grubun, dosya meta verileri içindeki kötü amaçlı yükleri gizleyerek virüslü sistemlerde kalıcılığı sürdürmesine olanak tanıyor.
RustyAttr truva atı, gizli kalıcılık için macOS’un genişletilmiş özelliklerinden yararlanıyor, kötü amaçlı kodları tespit araçlarından saklıyor ve bu da grubun geleneksel güvenlik önlemlerini atlayarak güvenliği ihlal edilmiş sistemlerde gizli bir varlık sürdürmesine olanak tanıyor.
Şüpheli bir zip dosyasını (DD Form Questionnaire.zip) indirerek, bir .docx ve bir .app dosyası içerirken, .app dosyasını gizli kötü amaçlı kod açısından araştırmak için ‘-r’ ile ‘xattr’ komutunu kullandı. Uygulamadaki ve alt dizinlerdeki genişletilmiş öznitelikleri yinelemeli olarak incelemek için flag.
Uygulama paketinin “xattr -r” ile incelenmesi, kötü amaçlı bir komut dosyası içeren, PDF indiren, onu açan ve AppleScript kullanarak uzak bir sunucudan ikinci aşama veriyi getiren özel bir “test” özelliğinin ortaya çıktığını ortaya çıkardı.
CERT işaretli bir IP adresine bağlı kötü amaçlı alan adı, Lazarus Grubunun katılımını doğrulayarak aynı altyapıda barındırılan diğer kötü amaçlı alan adlarının daha fazla araştırılmasına olanak tanır.
Denwp’e göre Lazarus Grubu, kurbanları kandırmak için, genellikle meşru uygulamalar olarak gizlenen kötü amaçlı komut dosyalarını fark edilmeden getirip yürütmek için genişletilmiş özniteliklerden yararlanan, iptal edilmiş bir sertifikayla imzalanan macOS güvenlik önlemlerini atlatmak için RustyAttr truva atından yararlandı.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın