ProxyNation: Proxy uygulamaları ve kötü amaçlı yazılım arasındaki karanlık bağlantı

   Ağustos 16, 2023  Posted in CyberSecurity-Insiders


[ This article was originally published here ]

Yönetici Özeti

AT&T Alien Labs araştırmacıları kısa bir süre önce, Windows makinelerine bir proxy sunucu uygulaması sağlayan çok büyük bir tehdit kampanyası keşfetti. Bir şirket, bu makinelerden geçen trafikte proxy hizmeti için ücret alıyor. Bu, AdLoad tarafından proxy çıkış düğümlerine dönüştürülen Mac sistemleri hakkındaki blogumuzda açıklanan araştırmanın devamıdır.

Bu araştırmada, Alien Labs, kötü amaçlı yazılım sızması nedeniyle konut çıkış düğümlerine dönüştürülen güvenliği ihlal edilmiş sistemler aracılığıyla proxy isteklerinin yeniden yönlendirildiği proxy hizmetleri sunan bir şirket belirledi. Proxy web sitesi, çıkış düğümlerinin yalnızca cihazlarının kullanımı konusunda bilgilendirilen ve kabul eden kullanıcılardan geldiğini iddia etse de Alien Labs, kötü amaçlı yazılım yazarlarının proxy’yi virüslü sistemlere sessizce yüklediğine dair kanıtlara sahiptir. Ayrıca proxy uygulaması imzalı olduğu için anti-virüs tespiti de yok, güvenlik şirketlerinin radarına giriyor.

Bu takip makalesinde, 400.000 proxy botnet oluşturmak için aynı yükü sağlayan Windows kötü amaçlı yazılımlarındaki çarpıcı artışı keşfedeceğiz.

Önemli çıkarımlar:

  • AT&T Alien Labs araştırmacıları, yalnızca bir hafta içinde, proxy uygulamasını dağıtan vahşi ortamda binden fazla yeni kötü amaçlı yazılım örneğini gözlemledi.
  • Proxy web sitesine göre, 400.000’den fazla proxy çıkış düğümü var ve bunlardan kaçının kötü amaçlı yazılım tarafından yüklendiği net değil.
  • Uygulama, kullanıcı bilgisi ve etkileşimi olmadan virüslü makinelere kötü amaçlı yazılım tarafından sessizce yüklenir.
  • Proxy uygulaması imzalıdır ve sıfır anti-virüs algılamasına sahiptir.
  • Proxy, Go programlama dilinde yazılmıştır ve hem Windows hem de macOS’ta kötü amaçlı yazılım tarafından yayılır.

Analiz

Sürekli gelişen siber tehdit ortamında, kötü niyetli aktörler sürekli olarak teknolojiden kendi çıkarları için yararlanmanın yeni ve ustaca yollarını buluyorlar. Son zamanlarda Alien Labs, kötü amaçlı yazılım oluşturucuların seçtikleri araç olarak proxy uygulamalarını kullandıkları bir trend gözlemledi. Farklı kötü amaçlı yazılım türleri, crackli yazılımlar ve oyunlar gibi ilginç şeyler arayan kullanıcılara güvenerek proxy sağlıyor.

Proxy, Go programlama dilinde yazılmıştır ve ona macOS ve Windows da dahil olmak üzere çeşitli işletim sistemleriyle uyumlu ikili dosyalarda derlenme esnekliği sağlar. İkili dosyaların aynı kaynak koddan gelmesine rağmen, macOS örnekleri çok sayıda güvenlik kontrolü tarafından tespit edilirken, Windows proxy uygulaması bu önlemlerin etrafından görünmeden geçer. Bu tespit eksikliği, büyük olasılıkla başvurunun imzalanmasından kaynaklanmaktadır. (Şekil 1)

VT'de proxy

Şekil 1. Virus Total’deki gibi: Proxy uygulaması – sıfır algılama.

Kötü amaçlı yazılım, güvenliği ihlal edilmiş bir sistemde yürütüldükten sonra, proxy uygulamasını sessizce indirip yüklemeye devam eder. Bu gizli işlem, herhangi bir kullanıcı etkileşimi gerektirmeden gerçekleşir ve genellikle ek kötü amaçlı yazılım veya reklam yazılımı öğelerinin yüklenmesiyle birlikte gerçekleşir. Proxy uygulaması ve onu dağıtan kötü amaçlı yazılımların çoğu, ücretsiz ve popüler bir Windows yükleyicisi olan Inno Setup kullanılarak paketlenmiştir.

sessizce proxy yükleme

Şekil 2. Alien Labs tarafından gözlemlendiği gibi: Proxy’yi sessizce yüklemek için gömülü kötü amaçlı yazılım komut dosyası.

Yukarıdaki şekil 2’de gösterildiği gibi, kötü amaçlı yazılım, proxy’yi aşağıdaki talimatlarla yürüterek sessizce yüklemek için belirli Inno Setup parametrelerini kullanır:

  • “/SP-” – “Bu yüklenecek… Devam etmek istiyor musunuz?” bu genellikle Windows Kurulumunun başında sorar.
  • “/VERYSILENT” – Bir kurulum çok sessiz olduğunda, kurulum ilerleme çubuğu penceresi görüntülenmez.
  • “/SUPPRESSMSGBOXES” – Kur’a mesaj kutularını bastırma talimatı verir. Kurulum, kullanıcıyla ortak etkileşim mesajları kutusunu otomatik olarak yanıtlar.

Ayrıca kötü amaçlı yazılım, belirli parametreleri doğrudan proxy yükleme işlemine iletir ve ardından bunları yeni eş kayıt sürecinin bir parçası olarak proxy’nin komut ve kontrol sunucusuna (C&C) aktarır. Bu parametreler, proxy komut ve kontrol altyapısı içindeki proxy yayılımının kaynağının belirlenmesinde çok önemli bir rol oynar.

Kötü amaçlı yazılım yayan bir proxy sunucusunun bir bağlı kuruluş programı aracılığıyla paraya çevrilmesi, bu tehdidin yayılma hızını artırmak için resmi bir yapı oluşturduğundan zahmetlidir. İndirilen proxy uygulaması da Inno Setup ile doludur ve kurulum komut dosyası, hem dosyalarının yüklenmesinden hem de kalıcılığından sorumludur. (Figür 3)

proxy yükleme komut dosyası

Şekil 3. Alien Labs tarafından gözlemlendiği gibi: Proxy yükleme komut dosyası.

Kurulum dosyası iki yürütülebilir dosya bırakır:

  • “DigitalPulseService.exe” – Daha fazla talimat için çıkış düğümü operatörüyle sürekli iletişim kuran proxy sunucusunun kendisidir.
  • “DigitalPulseUpdater” – Mevcut yeni proxy uygulamalarını kontrol edin ve indirin.

Proxy sistemde iki şekilde kalır:

  • Kayıt defteri anahtarını çalıştırın: HKCUSoftwareMicrosoftWindowsCurrentVersionRunDigitalPulse
  • Her saat yürütülecek olan “DigitalPulseUpdateTask” adlı Windows zamanlama görevi: %AppData%DigitalPulseDigitalPulseUpdate.exe

Zamanlama görevi aracılığıyla yürütülen güncelleyici, herhangi bir güncelleme sürümünün olup olmadığını kontrol etmek için sunucuyu makinenin benzersiz GUID’si ile birlikte saatlik olarak sorgular. (Şekil 4)

proxy güncelleyici hizmeti

Şekil 4. Alien Labs tarafından gözlemlendiği şekliyle: Proxy güncelleyici hizmeti.

Sunucudan gelen bir yanıt, sürümü ve indirme bağlantısını içerecektir:

{“dd”:”https://digitalpulsedata.s3.amazonaws[.]com/update/pp/0.16.14/DigitalPulseService.exe”,”vv”:”0.0.16.14″}

Proxy daha sonra optimum performans ve yanıt verebilirlik sağlamak için makineden hayati bilgileri sürekli olarak toplar. Bu, işlem listesi ve CPU izlemeden bellek kullanımına ve hatta pil durumunun izlenmesine kadar her şeyi içerir. Bu dinamik veri toplama, sistemin operasyonel bağlamına uyum sağlayarak şüpheden kaçarken proxy isteklerinin taleplerini yönetme yeteneğinin altını çiziyor. (Şekil 5)

proxy c2

Şekil 5. Alien Labs tarafından gözlemlendiği gibi: Toplanan makine bilgilerinin komuta ve kontrole gönderilmesi.

Proxy, daha fazla talimat almak için 7001 numaralı bağlantı noktasındaki komut ve denetimiyle iletişim kurar. Şekil 6, virüs bulaşmış bir cihazdan “www.google.de” adresinden bilgi almak için proxy düğüm sunucusundan gelen örnek bir talebi göstermektedir.

proxy çıkış düğümü

Şekil 6. Alien Labs tarafından gözlemlendiği gibi: C&C ile Proxy çıkış düğümü iletişimi.

Önerilen işlemler

Proxy uygulamasını sistemden kaldırmak için aşağıdaki varlıkları silin:

Tip

Veri

Talimatlar

Dosya

“%AppData%DigitalPulse”

Geçerli kullanıcı “AppData” klasörünü bulmak için:
Çalıştır -> %AppData% -> ENTER

Kayıt

HKCUYazılımMicrosoftWindowsCurrentVersionRunDigitalPulse

Görev Takvimi

DigitalPulseUpdateGörevi

Çözüm

Sürekli değişen siber tehditler dünyasında, yenilik ve kötü niyetli niyet arasındaki iç içe geçmiş ilişki, hain aktörler tarafından yeni stratejiler geliştiriyor. Karlı bir yatırım olarak proxy uygulamaları sağlayan kötü amaçlı yazılımların, bağlı kuruluş programları tarafından kolaylaştırılan yükselişi, rakiplerin taktiklerinin kurnaz doğasını vurgulamaktadır. Cazip teklifler veya güvenliği ihlal edilmiş yazılımlar aracılığıyla gizlice kurulan bu proxy’ler, yetkisiz mali kazançlar için kanal görevi görür. İncelediğimiz gibi bu, sürekli gelişen siber tehditler karşısında tetikte ve uyarlanabilir kalmanın önemini vurgulamaktadır.

İlişkili Göstergeler (IOC’ler)

Aşağıdaki teknik göstergeler, bildirilen istihbaratla ilişkilidir. OTX Pulse’ta bir gösterge listesi de mevcuttur. Nabzın, raporla ilgili ancak kapsamı dışında kalan diğer faaliyetleri içerebileceğini lütfen unutmayın.

TİP

GÖSTERGE

TANIM

SHA256

33585aed3e7c4387a3512b93612932718e9dff2358867ba8c4ad1e8073bbce31

Kötü amaçlı yazılım damlatıcı karması

SHA256

2b79d98043030645f27bd1b061ffa27eab19462dff356e6b4a89bb1d3c9bf02d

Kötü amaçlı yazılım damlatıcı karması

SHA256

b0692f201e6dfdbe1b920849a31f2b9fb73db19779fdb77c660c28fa22b70a38

Kötü amaçlı yazılım damlatıcı karması

SHA256

424d35bc945ea2deda177b46978bbb45af74109a988450ea4ed5fe16c1f629f9

Kötü amaçlı yazılım damlatıcı karması

SHA256

518bc3b96a97a573c61934ff65cc284c3e5545c7823318918a7cb05cbb5518b1

Kötü amaçlı yazılım damlatıcı karması

SHA256

417cf3f959e1040ffe13fcf21691b05ea96da5849010b0a4d17c6cecbeaef621

Kötü amaçlı yazılım damlatıcı karması

SHA256

611ce42b0866c085d751c579f00b9e76c412a7d1e1ebcf998be6b666edc22416

Kötü amaçlı yazılım damlatıcı karması

SHA256

801ecf29bee98e3b942de85e08ec227373a15b0a253c9c3eb870af33709f3d8d

Kötü amaçlı yazılım damlatıcı karması

SHA256

7926a84dcb6ffbe93893477f7f3ad52516cfedf8def5c43686dd6737926146a7

Kötü amaçlı yazılım damlatıcı karması

SHA256

3aaaa01bdd20981fdc94d52c5ac0ed762a124b0a08c22d760ab7e43554ee84dd

Kötü amaçlı yazılım damlatıcı karması

SHA256

7a33d3f5ca81cdcfe5c38f9a4e5bbf3f900aa8f376693957261cdbe21832c110

Kötü amaçlı yazılım damlatıcı karması

SHA256

5a11065473b9a1e47d256d8737c2952da1293f858fc399157ab34bbaadff6cb8

Kötü amaçlı yazılım damlatıcı karması

SHA256

de97da00ed54a1f021019852a23b50c82408ab7a71dc0f3e6fef3680ac884842

Kötü amaçlı yazılım damlatıcı karması

SHA256

baba35cdd6213381cc350688f6c287f4f3e1192526f78b9b62779ac4b03495f9

Kötü amaçlı yazılım damlatıcı karması

SHA256

42ae669786b19556de65eeb1c45ec4685016b69384c21f3bbc30aaf2cddb2126

Kötü amaçlı yazılım damlatıcı karması

SHA256

e79c37dc791d1bdb01524d158421efa29dcebde250f7571e9e30714496b3c06f

Kötü amaçlı yazılım damlatıcı karması

SHA256

f22452a13635e4651b51c1491312a74891ca1dcd1b5072cbb978c06dc0a560ca

Kötü amaçlı yazılım damlatıcı karması

SHA256

6c3f24ff26c5d2f16ae6aa8842e97d402c2e203d0aa2798a40f4dc000554dbca

Kötü amaçlı yazılım damlatıcı karması

SHA256

aad7a088f309c1e0671f327db2428a470c14d08d5f6489fcb628071d2361b6a7

Kötü amaçlı yazılım damlatıcı karması

SHA256

0e364d219192854032767476173c91c3d61230990597b52e5c36ebadd0fd96d8

Kötü amaçlı yazılım damlatıcı karması

SHA256

331cf0f8049fc0e68e8bd75f8efed629b41459425a971cbcec53485ba2bf4521

Kötü amaçlı yazılım damlatıcı karması

SHA256

0ca119c7be4ec67355b47d8d197361e730d93153a87d09e00a68ceda340fabb0

Kötü amaçlı yazılım damlatıcı karması

SHA256

db115eff8d8b013e89f398b922294b248d5d6be51d7ab60cbde3b6ff2ff3f219

Kötü amaçlı yazılım damlatıcı karması

SHA256

1cff1d3a10cc36338803e37cc3c9e9121bdd8c5189ca4533d1c585715561bc4a

Kötü amaçlı yazılım damlatıcı karması

SHA256

530e59f9bd99b191b54ec18eb92d6b44005e56c1dd877b4e4ce0370d3d917fb4

Kötü amaçlı yazılım damlatıcı karması

SHA256

9a416904a4d942c77177770ea0680c48e5d5eddba793af3c434e4ff733daab56

Kötü amaçlı yazılım damlatıcı karması

SHA256

aeeccab5b4712f4c7d75c0606fc4587f13df7a04aa4941bb6599f328ee67d950

Kötü amaçlı yazılım damlatıcı karması

SHA256

3ff5e3932ba4a438c12c253ec6b00416ac6ce250173bac6be0bb8d619cea47bd

Kötü amaçlı yazılım damlatıcı karması

SHA256

a10d023b10b878a09697563155799bd088ed2f797aff489b732959f917414f97

Kötü amaçlı yazılım damlatıcı karması

SHA256

65a9895f5e49f8e18727fe16744c6631c0676e08499f4407b9d8c11634aae5e0

Kötü amaçlı yazılım damlatıcı karması

SHA256

e07aa2d15520c6f0ab9bbbe049f48402e4b91fde59b22b5668daef2ec924a68b

Kötü amaçlı yazılım damlatıcı karması

SHA256

cc3cbc8ad7f71223230a457aa2664d77b43b7f7a4988b42609ad707f0385aee3

Kötü amaçlı yazılım damlatıcı karması

SHA256

cba34f77ca2a5d4dc56f4567ff1f0b2242105d532353d2868d7b2c42f1a37551

Kötü amaçlı yazılım damlatıcı karması

SHA256

153de6a7d78bcce8a0cec446cdc20ec4b18ee72b74f59e76780ec5c76efddc52

Kötü amaçlı yazılım damlatıcı karması

SHA256

8505c4c3d6406cc55a9492cf1a3285de9c0357691112b2ab787faa57d55d304b

Kötü amaçlı yazılım damlatıcı karması

SHA256

c202911529293052006fa6bc6a87c66bbd5621738190dbd75a5b3a150fed5c41

Kötü amaçlı yazılım damlatıcı karması

SHA256

550c4839f26bf81f480c5e4210be3ded43d4f8027d5d689a6fe8692c42235940

Kötü amaçlı yazılım damlatıcı karması

5324f5aae565ddc8dc2a4b574bc690cba6b35bd4bf3f63e6df14d613b68ac769

Kötü amaçlı yazılım damlatıcı karması

İHTİSAS

bapp.digitalpulsedata[.]iletişim

Proxy düğüm sunucusu

MITRE ATT&CK ile eşlendi

Bu raporun bulguları aşağıdaki MITRE ATT&CK Matrix teknikleriyle eşleştirilmiştir:

    • TA0001: İlk Erişim
      • T1189: Arabayla Uzlaşma
    • TA0003: Kalıcılık
      • T1547: Önyükleme veya Oturum Açma Otomatik Başlatma Yürütme
        • T1547.001: Kayıt Çalıştırma Anahtarları / Başlangıç ​​Klasörü
      • T1053: Zamanlanmış Görev/İş
        • T1053.005: Zamanlanmış Görev
    • TTA0007: Keşif
      • T1082: Sistem Bilgisi Keşfi
    • TA0011: Komuta ve Kontrol
      • T1090: Proxy
      • T1571: Standart Olmayan Bağlantı Noktası
    • TA0040: Etki
      • T1496: Kaynak Ele Geçirme

reklam



Source link