MirrorFace tehdit aktörleri 2022’den bu yana medyayı, siyasi örgütleri ve akademik kurumları hedef alırken, 2023’te odaklarını üreticilere ve araştırma kurumlarına kaydıracaklar.
Saldırı yöntemi, hedefli kimlik avından, özellikle Array AG ve FortiGate ürünlerindeki dış varlıklardaki güvenlik açıklarından yararlanmaya doğru evrildi; aktörler, ağa erişim sağladıktan sonra NOOPDOOR kötü amaçlı yazılımını dağıtıyor ve dosya listeleme ve içerik incelemesi gibi verileri sızdırmak için çeşitli araçlar kullanıyor.
Bir kabuk kodu olan NOOPDOOR, Type1’in MSBuild kullanılarak derlenen ve NOOPLDR tarafından yürütülen, karıştırılmış C# kodu içeren bir XML dosyasını kullandığı iki yöntem aracılığıyla meşru uygulamalara kendini enjekte eder.
Type2, bir DLL dosyası kullanır ve NOOPLDR’yi DLL yan yüklemesi yoluyla meşru bir uygulamaya yükler. Her iki tür de şifrelenmiş verileri belirli dosyalardan veya kayıt defteri girdilerinden alır, sistem bilgilerine dayalı AES-CBC kullanarak şifresini çözer ve kodu hedef uygulamaya enjekte eder.
Kod yürütüldükten sonra şifrelenir ve daha sonraki işlemlerde kullanılabilmesi için belirli bir kayıt defteri konumuna kaydedilir.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files
NOOPLDR Örnekleri Çeşitli Özellikler Sergiliyor:
NOOPLDR örnekleri, enjeksiyon için çeşitli Windows süreçlerinden yararlanarak XML ve DLL formatlarında ortaya çıkar. XML tabanlı NOOPLDR’ler, yürütme için öncelikle meşru hizmetleri kullanır ve şifrelenmiş yükleri belirli kayıt defteri konumlarında depolar.
DLL varyantları, hizmet kurulumu ve potansiyel gizleme gibi daha karmaşık davranışlar sergiler ve yük depolama için kayıt defteri anahtarlarını kullanır.
JPCERT/CC’ye göre, bazı örnekler hem XML hem de DLL enjeksiyonu için `wuauclt.exe`’yi kullanırken, diğerleri `lsass.exe`, `svchost.exe` ve `vdsldr.exe` gibi işlemlere güveniyor.
Tip 2, kodunu gizlemek için Kontrol Akışı Düzleştirme (CFF) kullanır ve bu da analizi zorlaştırır. D810 gibi araçlar CFF’yi kısmen gizleyebilirken, JPCERT/CC daha fazla gizleme kaldırmak için GitHub’da özel bir Python betiği (Deob_NOOPLDR.py) sunar.
Alan Oluşturma Algoritması (DGA) kullanarak 443 numaralı port üzerinden iletişim kurabilir ve 47000 numaralı port üzerinden komut alabilir.
NOOPDOOR, dosya aktarımı ve yürütme gibi standart kötü amaçlı yazılım eylemlerinin ötesinde, dosya zaman damgalarını değiştirebilir ve bu da adli soruşturmaları engelleme potansiyeline sahiptir.
Tehdit aktörleri, etki alanı denetleyicisi için NTDS.dit veritabanı olan Lsass’ı çalıştıran işlemlerin bellek dökümlerinde ve SAM veritabanına erişime izin veren hassas kayıt defteri kovanlarında (SYSTEM, SAM, SECURITY) arayarak Windows ağ kimlik bilgilerini aktif olarak elde etmeye çalışmaktadır.
Kimlik bilgisi hırsızlığına işaret eden faaliyetler, Microsoft Defender ve EDR ürünleri gibi güvenlik çözümleri aracılığıyla tespit edilebilirken, NTDS.dit’e erişim açıkça kaydediliyor ve harici kaynaklar tarafından analiz ediliyor.
Saldırganlar, SMB ve zamanlanmış görevler aracılığıyla kötü amaçlı yazılım yaymak için Windows ağ yönetici ayrıcalıklarından yararlandı ve dosya sunucularını, AD’yi ve virüsten koruma yönetim sunucularını hedef aldı; bu saldırılar Olay Kimlikleri 4698 ve 5145 olarak kaydedildi.
Saldırı sonrasında saldırganlar, /s dizinindeki dosyaları ve OneDrive, Teams, IIS ve diğer konumları hedefleyen komutları numaralandırdıktan sonra WinRAR ve SFTP kullanarak verileri dışarı sızdırarak auditpol, bitsadmin ve dfsutil gibi alışılmadık komutları kullanarak keşif gerçekleştirdi.
“Sisteminiz Saldırı Altında mı? Cynet XDR’yi deneyin: Uç Noktalar, Ağlar ve Kullanıcılar için Otomatik Algılama ve Yanıt!” – Ücretsiz Demo