Elastic Security Labs tarafından REF2924 olarak izlenen bir grup, güney ve güneydoğu Asya’da faaliyet gösteren kurbanlara yönelik saldırılarda, araştırmacılar tarafından Naplistener olarak adlandırılan C# ile yazılmış bir HTTP dinleyicisi olan yeni veri çalan kötü amaçlı yazılım kullanıyor.
Elastic’in kıdemli güvenlik araştırma mühendisi Remco Sprooten tarafından yazılan bir blog gönderisine göre, dünyanın bu bölgesinde, ağ tabanlı tespit ve önleme teknolojileri, birçok ortamın güvenliğini sağlamak için fiilen kullanılan yöntemdir. Ancak Naplistener – grup tarafından kullanılan diğer yeni kötü amaçlı yazılım türleri ile birlikte —Elastic Security’nin mühendislik direktörü Jake King, “ağ tabanlı algılama biçimlerinden kaçınmak için tasarlanmış” görünüyor.
Bu nedenle, derinlemesine savunma stratejisi üzerinde uyumayın.
Araştırmacılar gözlemledi napistler 20 Ocak’ta bir kurban ağında bir Windows Hizmeti olarak oluşturulan ve yüklenen yeni bir yürütülebilir dosya biçiminde. Tehdit aktörleri, Microsoft Dağıtılmış İşlem tarafından kullanılan meşru ikili dosyaya benzer bir adlandırma kuralı kullanarak Wmdtc.exe adlı yürütülebilir dosyayı oluşturdu. Koordinatör hizmeti.
Tespitten Kaçınmaya Odaklanma
Naplistener, Elastic araştırmacılarının REF2924’ü ağ tabanlı tespitten kaçınmaya yönelik özel bir odaklanmayı destekleyen saldırılarında kullandığını gözlemledikleri bir dizi yeni özel kötü amaçlı yazılım türünün sonuncusu, diyor King. Bu yeni kötü amaçlı yazılım ailelerinin hepsinin ortak noktası, yalnızca açık kaynak teknolojilerine dayalı olmaları değil, aynı zamanda faaliyetlerini gizlemek için tanıdık ve yasal ağ varlıklarını kullanmalarıdır.
“Tüm bu yeteneklerin tutarlı bir teması, meşru ve beklenen ağ iletişim biçimlerinde saklanma niyetidir ve [they] kötüye kullandıkları temel hizmetlere benzeyecek şekilde kurulurlar,” diyor King.
Diğer tehdit grupları da bu yaklaşımları özel kötü amaçlı yazılımlarla benimsiyor olsa da, bunu REF2924’ten “daha az sıklıkta ve daha az tutarlı” yaptıklarını belirterek, REF2924’ün başarı için tespitten kaçınma konusunda büyük ölçüde bahis oynadığını gösteriyor.
King, “Bu tehdit aktörünün benzersiz bir gözlemi, kaçınma taktiklerinin derin odak noktasıdır” diyor. “Pek çok tehdit benzer şekillerde gizlenirken, bu tehdit metodolojiyi en uç noktalara kadar takip ediyor ve sürekli olarak bu metodolojileri kullanıyor.”
Bir Bakışta Özel Kötü Amaçlı Yazılım
Kendini gizlemek için bir ağdaki Web sunucularının davranışını taklit eden Naplistener’a ek olarak, REF2924 ayrıca Elastic Security’nin SiestaGraph ve Somnirecord ve diğerleri gibi izlediği özel kötü amaçlı yazılımları kullanıyor. King, ilkinin, algılamadan kaçınmak için komut ve kontrol için Microsoft bulut kaynaklarını kullanması dikkat çekicidir ve ikincisi, DNS protokolü trafiği gibi davranır, diyor King.
“Gözlenen etki bölgelerinde bulunan ve kesinlikle ağ tabanlı tespit yöntemlerine güvenen kuruluşlar, bu kötü amaçlı yazılım ailelerini belirlemekte zorlanacak” diye ekliyor.
Araştırmacılar, Naplistener’ın özellikle internetten gelen istekleri işleyebilen, gönderilen verileri okuyabilen, Base64 biçiminden kodunu çözebilen ve bellekte yürütebilen bir HTTP istek dinleyicisi oluşturduğunu söyledi.
Bahsedildiği gibi, Web sunucularına benzer şekilde davranarak, yasal Web kullanıcıları arasında çalışarak ve normal Web trafiğini andırarak kurbanların ağ tabanlı algılama girişimlerinden kaçınır. Araştırmacılar, bunların hepsini Web sunucusu günlük olayları oluşturmadan yaptığını söyledi.
Naplistener ayrıca çeşitli amaçlar için halka açık depolarda bulunan kodlara güvenir ve REF2924’ün açık kaynaklardan ek prototipler ve üretim kalitesinde kodlar geliştiriyor olabileceğini eklediler.
Ağ Düzeyinde Tespitin Ötesine Geçmek
King, REF2024’ün ağ tabanlı algılama yöntemlerinden kaçınmaya o kadar odaklanmış olması nedeniyle hedefindeki işletmelerin, daha yaygın olarak uç nokta algılama ve yanıtı (EDR) olarak bilinen uç nokta tabanlı algılama teknolojilerine öncelik vererek grup tarafından taviz verilmesini önleyebileceğini söylüyor.
Gerçekten de EDR, ABD’deki ve grubun faaliyet gösterdiği dünyanın birçok yerindeki birçok kuruluş için yeni bir güvenlik stratejisi olmasa da, hâlâ benimsenmenin ilk aşamalarında olduğunu söylüyor. Bu, bu kuruluşları grubun dağıttığı özel kötü amaçlı yazılım riskine maruz bırakır.
King, “Tehditleri tespit etmek için ağ teknolojilerine güvenen kuruluşlar, önemli zorluklarla karşı karşıya kalacak ve bunlar, ağlarının karmaşıklığına göre birleşiyor” diyor. “Kısacası: Ne kadar çok bağlantı ve bağlantı türü olursa, kuruluşların bunları etkili bir şekilde izlemesi o kadar zorlaşır; bu, başka bir ana bilgisayar tabanlı görünürlük biçimiyle nispeten hızlı bir şekilde ele alınır.”
King, kuruluşların ağ tabanlı tespitten kaçabilecek kötü amaçlı yazılımlarla mücadele etmek için kullanabilecekleri bir başka teknolojinin de çıkış filtreleme veya izin verdikleri giden ağ iletişimi türlerini sınırlama olduğunu söylüyor.
Bununla birlikte, “yönettikleri çok sayıda çıkış noktası ve meşru iletişim yöntemlerinin çeşitliliği nedeniyle, bir kuruluş önemli bir büyüklüğe ulaştığında bu özellikle ölçeklenebilir bir yaklaşım değildir” diye ekliyor.