Saldırganlar, gözlemevi çiftliğine ilk erişim sağlamak, gizli bir yönetim paylaşımı oluşturmak ve p.bat adlı kötü amaçlı bir toplu iş dosyasını yürütmek için EternalBlue güvenlik açığından yararlandı.
Bu toplu iş dosyası, kötü amaçlı yürütülebilir dosyalar oluşturmak ve yürütmek, güvenlik duvarı bağlantı noktalarını açmak, bağlantı noktası yönlendirmeyi ayarlamak ve kalıcılık için görevleri zamanlamak gibi çeşitli kötü amaçlı eylemler gerçekleştirdi.
Ayrıca, analizi engellemek için algılama önleme mekanizmaları da içeriyordu; Windows Defender’ı devre dışı bırakmak ve algılamayı önlemek için istisnalar oluşturmak üzere svchost.exe olarak gizlenen başka bir kötü amaçlı yürütülebilir dosya oluşturuldu.
Ayrıca güvenlik duvarı bağlantı noktalarını açmak, bağlantı noktası yönlendirmeyi ayarlamak ve görevleri planlamak gibi benzer eylemleri de gerçekleştirdi.
Analyse Any Suspicious Links Using ANY.RUN’s New Safe Browsing Tool: Try for Free
Sonuçta saldırganlar, izlerini gizlemek ve ele geçirilen sistem üzerinde özel kontrol sağlamak için idari paylaşımı sildi.
Saldırgan, kalıcılık için C: sürücüsünde gizli bir yönetim paylaşımının oluşturulduğu SMB’yi yerel yönetici olarak erişim sağlamaya zorladı.
Giden trafik, uzak bir sunucunun (1.1.1.1) 53 numaralı bağlantı noktasına proxy gönderilerek DNS trafiği olarak gizlendiğinden, potansiyel olarak kripto madenciliği için güvenlik duvarı kurallarını yapılandırmak üzere kötü amaçlı bir toplu komut dosyası (p.bat) oluşturuldu.
Toplu komut dosyasını ve potansiyel olarak indirilen kötü amaçlı yazılımları (installed.exe) düzenli aralıklarla yürütmek için zamanlanmış görevler de oluşturuldu.
Kötü amaçlı komut dosyası PowerShell’i kontrol eder ve varsa, LemonDuck kötü amaçlı yazılımıyla ilişkili kötü amaçlı bir URL’den ikinci bir komut dosyası indirip çalıştırır.
Ayrıca her saat başı başka bir kötü amaçlı yazılımı (FdQN.exe) çalıştırmak için zamanlanmış bir görev oluşturur. PowerShell yoksa, komut dosyası Windows Zamanlayıcı’yı kötü amaçlı komut dosyalarını (mshta ve yüklü.exe) çeşitli aralıklarla çalıştıracak şekilde yönlendirir.
Bir hizmeti (Ddriver) başlatmaya çalışır ve komut istemlerini izler.
10’dan fazla tespit edilirse, sistemi yeniden başlatır ve son olarak komut dosyası, indirilen başka bir kötü amaçlı yazılımı (installed.exe) çalıştırmadan önce kendisini ve kanıtları (p.bat) siler.
Kötü amaçlı yazılım, Windows Defender’ın gerçek zamanlı izleme özelliğini devre dışı bırakarak tüm C sürücüsünü taramaların dışında bırakıyor ve ardından bir bağlantı noktası açarak potansiyel C2 iletişimi için bir proxy kuruyor.
Tespitten kaçınmak için kötü amaçlı yürütülebilir dosyaları yeniden adlandırır ve PowerShell veya zamanlanmış görevler aracılığıyla ek komut dosyaları indirmeye çalışır.
PowerShell kullanılamıyorsa, Görev Zamanlayıcı hizmetini yeniden başlatır ve mevcut görevleri, her 50 dakikada bir potansiyel olarak kötü amaçlı bir yük getiren bir görevle değiştirir; bu, kötü amaçlı yazılımın kalıcılık için birden fazla indirme URL’si ve görev adı kullandığını gösterir.
NetbyteSec tarafından yapılan analiz, msInstall.exe’nin (LemonDuck varyantı) uzak sistemleri hedef alan, erişim sağlamak için kullanıcı/şifre listeleriyle kaba kuvvet saldırısı kullanan kötü amaçlı bir yürütülebilir dosya olduğunu ortaya çıkardı.
Kötü amaçlı yazılım, sisteme girdikten sonra SİSTEM ayrıcalıklarına ulaşmak için EternalBlue güvenlik açığından (CVE-2017-0144) yararlanıyor ve ardından kendisini hedef sisteme kopyalayarak, zamanlanmış görevler oluşturarak ve potansiyel olarak güvenlik duvarı kurallarını değiştirerek kalıcılık sağlıyor.
Kötü amaçlı yazılım ayrıca ek kötü amaçlı komut dosyaları indirmeye çalışır ve kimlik bilgilerini çalmak için Mimikatz’ı kullanır ve potansiyel olarak ağ içinde yanal harekete olanak tanır.
Strategies to Protect Websites & APIs from Malware Attack => Free Webinar