Bilgisayar korsanları genellikle ERP sunucularına saldırır; çünkü bu sunucular bir şirketin faaliyetleri ve operasyonları, müşterileri ve kuruluştaki çeşitli iş süreçleri hakkında önemli bilgiler içerir.
Bir ERP sunucusunun güvenliğinin ihlal edilmesi, bir tehdit aktörünün hassas ve değerli bilgilere erişmesine, dolandırıcılığı kolaylaştırmasına ve iş operasyonlarını aksatmasına olanak tanıyarak onu tehdit aktörleri için yüksek değerli bir hedef haline getirebilir.
Yakın zamanda AhnLab Güvenlik İstihbarat Merkezi (ASEC), bir bilgisayar korsanının Koreli bir şirketin kurumsal kaynak planlama sunucusuna girip bir SoftEther VPN sunucusu kurduğu bir saldırıyı ortaya çıkardı.
Bilgisayar korsanları ERP sunucusuna saldırıyor
Saldırgan ilk başta çabalarını MS-SQL hizmetine yöneltti, üzerinde kontrol kurdu ve daha sonra, virüslü ana bilgisayarı bir VPN sunucusuna dönüştürmek için SoftEther VPN hizmetini kurmadan önce ileride kullanmak üzere bir web kabuğu tanıttı.
Free Webinar on API vulnerability scanning for OWASP API Top 10 vulnerabilities -> Book Your Spot
Tehdit aktörleri, dahili ağlara erişmek için genellikle SystemBC veya Bunitu gibi kötü amaçlı yazılımların yanı sıra HTran ve FRP gibi proxy araçlarını da kullanır.
Bazen, proxy araçları ve kötü amaçlı yazılımların dahil olmasına rağmen VPN hizmetleri yüklenmiştir.
Diğer tehdit aktörlerinin yanı sıra GALLIUM, ToddyCat ve UNC3500 zaman zaman SoftEther VPN’den yararlanarak, açık kaynaklı bir program olduğundan, uyguladığı VPN sunucuları aracılığıyla hedef sistemlere sızmayı amaçlıyor.
Saldırgan, Koreli şirketin çok zayıf bir MS-SQL sunucusuna bağlı olan ERP sunucusuna saldırı düzenledi. Saldırgan bu komutları ağları araştırmak ve yük indirmelerini test etmek için kullandı.
Orijinal bir MS VisualStudio Code indirmesiyle birlikte “vmtoolsd1.exe”yi yüklemek için çaba gösterildi.
Saldırgan bunu denedikten sonra “bashupload.com” adresinden bir web kabuğu aracılığıyla meydan okudu ve komutlar aracılığıyla insanların şifrelerini çaldı. Ayrıca kimlik bilgilerinin önbelleğe alınmasını etkinleştirdiler ve SAM kayıt defteri kovanını kaydettiler.
Aşağıda, kullanılan tüm komutlardan bahsettik: –
- ping -n 10 127.0.0.1
- ben kimim
- ip yapılandırması
- ana bilgisayar adı
- görev listesi
- kullanıcıyı sorgula
- netstat -ano -p tcp
“Sqlwrite1.exe” dosyası toplu komut dosyası olarak çalıştırıldı ve “hamcore.se2” ve “vpn_server.config” dosyalarını kullanan SoftEther VPN sunucusu tek seferde kuruldu.
Web kabuğunu kullanarak komut yürütme (Kaynak – ASEC).
Saldırganın, ele geçirilen ERP sunucusunu bağımsız bir VPN sunucusu olarak değil, C&C altyapısının bir parçası olarak kullanmayı amaçladığı görülüyor.
Yapılandırma dosyası başka bir VPN sunucusuna “kademeli bağlantı” kurarak güvenliği/gizliliği artırır ve C&C takibini engeller.
İlk sızma vektörü, MS-SQL veritabanı kimlik bilgilerinin güvenliği zayıftı.
Yöneticiler güçlü, düzenli olarak değiştirilen parolalar kullanmalı ve bu tür ihlalleri önlemek için güvenlik duvarları aracılığıyla veritabanı sunucularına harici erişimi kısıtlamalı ve sürekli kötü amaçlı yazılım bulaşmasına izin vermelidir.
IoC’ler
MD5’ler: –
- aac76af38bfd374e83aef1326a9ea8ad: İndirici Grubu (tun02.bat)
- ef340716a83879736e486f331d84a7c6: SoftEther Yapılandırması (vpn_server.config)
Kontrol ve Kontrol Sunucusu: –
- 45.76.53[.]110:443: VPN sunucusu
URL’leri indirin: –
- hxxp://45.77.44[.]127/vmtoolsd.exe
- hxxp://116.202.251[.]4/vmtoolsd.exe
- hxxp://167.99.75[.]170/vmtoolsd.exe
- hxxps://bashupload[.]com/-nsU2/1.txt
- hxxp://167.99.75[.]170/tun02.bat
- hxxp://167.99.75[.]170/dns003/hamcore.se2
- hxxp://167.99.75[.]170/dns003/sqlwritel.exe
- hxxp://167.99.75[.]170/tun02/vpn_server.config
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free