Windows LNK dosyaları, hedef sistemlere ilk erişim sağlamak isteyen saldırganlar için tercih edilen bir vektör olmaya devam ediyor. Son zamanlarda güvenlik araştırmacıları, tam özellikli bir C2 işaretçisi sunmak ve aynı zamanda kritik uç nokta korumalarını kapatmak için bu kısayol dosyalarından yararlanan karmaşık bir MastaStealer kampanyası tespit etti.
Bulaşma, tek bir .lnk dosyası içeren bir ZIP arşivi içeren hedef odaklı kimlik avı e-postasıyla başlar. Kurban kısayolu uyguladığında saldırı, kalıcılık sağlarken dikkat çekmeyen bir profili korumak için tasarlanmış birden fazla aşamada gerçekleşir.
LNK dosyası Microsoft Edge’i başlatır ve herhangi bir masaya gider[.]com ön planda, meşru bir uygulama olduğu yanılsamasını yaratıyor.
Bu sosyal mühendislik taktiği, kötü amaçlı yazılım herhangi bir masadan sessizce MSI yükleyicisini indirirken, kullanıcıların dikkatini arka plan aktivitesinden uzaklaştırır. [.]net meşru AnyDesk alanının yazım hatası yapan bir çeşididir.
Algılama ve MSI Dağıtımı
Güvenlik ekipleri, kullanıcının yerel yönetici ayrıcalıklarına sahip olmadığı bir sistemde MSI yüklemesi başarısız olduğunda Windows Installer olay günlükleri aracılığıyla izinsiz girişi keşfetti.
Başarısız kurulum, korelasyon kurallarını tetikleyen ve hızlı olay müdahalesini başlatan Uygulama Olay Kimliği 11708’i oluşturdu. Kullanıcı yükseltilmiş ayrıcalıklara sahip olsaydı saldırı fark edilmeden ilerleyebilirdi.
Başarılı bir yürütmenin ardından MSI, içeriğini %LOCALAPPDATA%\Temp\MW- adresindeki geçici bir dizine açar.
Bu yürütülebilir dosya, C2 işaretçisi olarak işlev görerek saldırganların ele geçirilen sisteme doğrudan uzaktan erişmesini sağlar.
Bu kampanyanın en endişe verici yönü, MSI kurulumu sırasında Windows Defender istisnası oluşturmak için yürütülen bir PowerShell komutunun konuşlandırılmasıdır.
Add-MpPreference -ExclusionPath “C:\Users\admin\AppData\Local\Microsoft\Windows\dvm.exe”
Bu komut, kötü amaçlı yürütülebilir dosyayı Defender dışlama listesine ekleyerek Windows Defender’ı C2 işaretçisinin varlığı konusunda etkili bir şekilde körleştirir. Saldırganlar, kötü amaçlı yazılımın kurulum yolu için gerçek zamanlı korumayı devre dışı bırakarak, kalıcılık mekanizmalarının otomatik güvenlik taraması ve olay müdahale faaliyetlerine karşı görünmez kalmasını sağlar.
Komuta Kontrol Altyapısı
Kuruluşlar, LNK dosyalarının yürütülmesi, güvenlik dışlamalarını hedefleyen şüpheli PowerShell komutları ve imzasız MSI kurulumları için kontrol izlemeyi uygulamalıdır.
Kötü amaçlı yazılım iki komut ve kontrol sunucusuyla iletişim kurar:
- cmqsqomiwwksmcsw[.]xyz (38[.]134[.]148[.]74).
- ykgmqoyusggyyya[.]xyz (155[.]117[.]20[.]75).
Bu alanlar, alan adı itibar filtrelemesinden ve DNS tabanlı tehdit istihbaratı platformlarından kaçınmak için rastgele adlandırma kurallarından yararlanır.
Bu kampanya, saldırganların katmanlı savunmaları atlatmak için birden fazla kaçma tekniğini nasıl zincirlediğini gösteriyor.
LNK tabanlı yürütme, MSI tabanlı dağıtım ve Defender dışlamalarının birleşimi, dikkatli uç nokta algılama ve yanıt yetenekleri gerektiren karmaşık bir saldırı dizisi oluşturur.
Ayrıca, Windows Installer olay günlüklerinin hatalara karşı izlenmesi, saldırganların yaklaşımlarını hassaslaştırmadan önce başarısız uzlaşma girişimlerini yakalamak için kritik bir algılama mekanizması olmayı sürdürüyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.