Silver ve Cobalt Strike, sızma testlerinde ve kırmızı ekip operasyonlarında yaygın olarak kullanılan gelişmiş rakip simülasyon araçlarıdır.
Bu araçlar, güvenlik araştırmacılarının “gizli komuta ve kontrol kanalları” ve “istismar sonrası yetenekler” gibi özellikler sunarak gelişmiş kalıcı tehditleri taklit etmelerine olanak tanır.
“DFIR Raporu”ndaki güvenlik analistleri yakın zamanda, ele geçirilen sunucuda Sliver ve Cobalt Strike’ı dağıtırken bulunan Nitrogen kötü amaçlı yazılımını “IP Tarayıcı” olarak tanımladı.
Gümüş ve Kobalt Saldırısını Konuşlandırma
Bir kullanıcı, “Google reklamları” aracılığıyla tanıtılan sahte bir web sitesinden “Gelişmiş IP Tarayıcı” kılığına giren kötü amaçlı yazılımları bilmeden indirdi ve bir “Nitrojen kampanyası” başlattı.
Kötü amaçlı yük, Nitrogen kodunu çalıştıran “değiştirilmiş python311.dll” dosyasını yandan yükleyen “meşru bir Python çalıştırılabilir dosyası” (“setup.exe”) içeren bir “ZIP dosyası” olarak teslim edildi.
Gelişmiş güvenlik için yapay zekadan faydalanma => Ücretsiz Web Semineri
Bu, “Py-Fuscate” kullanılarak karartılan “Sliver” ve “Cobalt Strike” işaretçilerinin, karmaşık “uzaktan erişim araçlarının” konuşlandırılmasına yol açtı.
Saldırgan, ağı ve Active Directory yapısını haritalamak için “PowerView” ve “BloodHound”u kullanarak sekiz gün boyunca kapsamlı bir keşif gerçekleştirdi.
Sadece “Windows Yönetim Araçları (WMI),” “Uzak Masaüstü Protokolü (RDP)” ve “Karma Geçiş teknikleri” aracılığıyla yanal hareket de gerçekleştirdiler.
LSASS belleği boşaltılırken kimlik bilgileri toplandı. Burada saldırgan, “zamanlanmış görevler”, “kayıt defteri değişiklikleri (Winlogon\Userinit anahtarı)” ve ‘OneDrive’ ve ‘Microsoft Edge’ gibi meşru süreçleri taklit eden “oluşturulan görevler” yoluyla ısrarı sürdürdü.
“API’yi kaldırma”, “uyku gizleme” ve ‘AMSI’, ‘WLDP’ ve ‘ETW’yi atlama gibi çeşitli savunmadan kaçınma teknikleri kullandılar.
İşlem enjeksiyonu, “winlogon.exe”ye enjekte edilerek ayrıcalıkları yükseltmek için kullanıldı. Verilerin sızması, açık kaynaklı bir yedekleme aracı olan “Restic” kullanılarak ve dosyaların “Bulgaristan”daki bir sunucuya aktarılmasıyla gerçekleştirildi.
Son aşamada saldırgan, “Sunucu Mesaj Bloğu (SMB)” protokolünü ve “PsExec”i kullanarak ağ genelinde “BlackCat” fidye yazılımını dağıttı.
“Winlogon” aracılığıyla otomatik oturum açmak için ‘güvenliği aşılmış yedekleme hizmeti hesabından’ yararlanarak, güvenlik önlemlerini atlamak için sistemleri Ağ İletişimi ile “Güvenli Mod”a yeniden başlatmaya zorladılar.
Bu, dosya şifrelemenin yaygınlaşmasına yardımcı olur ve “etkilenen ana bilgisayarlara” fidye notları bırakır. DFIR raporuna göre, Fidye Yazılımına Erişim Süresi (TTR) yaklaşık 156 saatti; bu süre, ilk tehlikeden tam dağıtıma kadar sekiz takvim gününü kapsıyordu.
Olay, “Bulgaristan” ve “Hollanda”da bulunan C2 sunucularını kullanan tehdit aktörlerini içeriyordu.
’441 numaralı bağlantı noktasında’ tehdit aktörleri, belirli IP adresleriyle (“91.92.250.158”, “91.92.251.240”, “94.156.67.175”, “94.156.67.180”) ve “güvenilmeyen HTTPS sertifikasıyla” “Cobalt Strike” kullandı ( seri numarası “1657766544761773100”).
Saldırganlar, geçersiz sertifikalarla sunucularda “RedGuard” ve “Sliver”ı da kullandı. Hassas bilgileri ‘HTTP’ üzerinden “195.123.226.84:8000” adresindeki bir sunucuya aktarmak için “Rastic” kullandılar
Tehdit aktörleri toplu komut dosyalarını (‘up.bat’ ve ‘1.bat’) dağıtmak için ağ genelinde “PsExec”i kullanarak uzaktan komutlar yürüttüler.
Bu komut dosyaları aşağıdaki kritik eylemleri gerçekleştirdi:-
- Şifreleri sıfırlama.
- Sistem önyükleme yapılandırmalarını değiştirme.
- Otomatik giriş mekanizmalarını ayarlama.
Bunun yanı sıra, son aşama, kolay kurtarmayı önlemek için ‘dosyaları şifreleyen’, ‘birim gölge kopyalarını silen’ ve bir ‘fidye notu’ bırakan fidye yazılımının dağıtılmasını içeriyordu.
Saldırı boyunca tehdit aktörleri, sistem ayarlarını değiştirmek ve kalıcılığı sağlamak için “bcdedit”, “reg” ve “shutdown” gibi çeşitli Windows yardımcı programlarını kullandı.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağı Konusunda Ücretsiz Web Semineri -> Ücretsiz Web Semineri