Golang merkezli bir bilgi hırsızı olan SharkStealer’ın, komuta ve kontrol (C2) iletişimleri için Binance Smart Chain (BSC) Testnet’ini gizli bir çıkmaz mekanizma olarak kullandığı gözlemlendi.
Kötü amaçlı yazılım, bir “EtherHiding” modelini benimseyerek, Ethereum RPC çağrıları aracılığıyla akıllı sözleşmelerden şifrelenmiş C2 ayrıntılarını alır, bellekteki yükün şifresini çözer ve teması başlatır; tüm bunları yaparken meşru blockchain trafiğine de karışır.
Geleneksel C2 kanalları, savunucuların tanımlandıktan sonra bunları gizleyebileceği veya engelleyebileceği özel alanlara veya IP adreslerine dayanır.
SharkStealer, BSC Testnet düğümlerine eth_call istekleri göndererek ve esnek bir depo görevi gören akıllı bir sözleşmeyi sorgulayarak bu durumu aşıyor.
Her çağrı üzerine sözleşme, bir kriptografik başlatma vektörü (IV) ve gerçek C2 uç noktasını kodlayan bir AES-CFB şifreli blobu içeren iki parçalı bir demet döndürür.
Veriler halka açık bir blok zincirinde bulunduğundan, analistler kötü amaçlı erişimleri zararsız kullanıcı aktivitelerinden ayırt etmekte daha fazla zorlukla karşılaşıyor.
Bu yaklaşım, halka açık defter altyapılarına yönelik artan kötüye kullanım eğiliminin altını çiziyor. Blok zincirleri sansüre dayanıklı depolama ve küresel kullanılabilirlik sunarak akıllı sözleşmeleri evrensel olarak erişilebilen çıkmazlara dönüştürüyor.
Savunmacılar, özellikle kötü amaçlı sözleşme adreslerini hedef alan eth_call modellerini izlemediği sürece, bu çağrıların meşru merkezi olmayan uygulama (dApp) etkileşimlerinden ayırt edilmesi mümkün görünmüyor.
Teknik Derinlemesine İnceleme
SharkStealer’ın EtherHiding uygulaması kısa ve öz bir iş akışını takip ediyor:
- RPC Etkileşimi: İkili dosya, bir BSC Testnet HTTP RPC uç noktasına (örneğin, https://data-seed-prebsc-1-s1.binance.org:8545) bağlanır ve belirlenmiş bir sözleşme adresine karşı eth_call yöntemini çağırır.
- Veri Alma: Akıllı sözleşme işlevi bir demet döndürür: ilk öğe 16 baytlık bir IV, ikincisi ise AES-CFB şifreli C2 yüküdür.
- Bellek İçi Şifre Çözme: SharkStealer’ın içine gömülü, sabit kodlanmış bir AES anahtarıdır. Kötü amaçlı yazılım, AES-CFB şifre çözme işlemini gerçekleştirmek için bu anahtarı alınan IV ile birleştirerek C2 alanını veya IP adresini içeren düz metni çıkarır.
- C2 Bağlantısı: SharkStealer, şifresi çözüldükten sonra kurtarılan uç noktaya ağ bağlantıları kurar ve güvenliği ihlal edilmiş ana bilgisayardan veri çıkarmaya hazırdır.
Operatörler, kritik iletişim verilerinin depolanmasını blok zincirine aktararak tek kullanımlık web altyapısına olan bağımlılığı azaltır.
Bu teknik, kaldırma operasyonlarını karmaşık hale getirir: C2’yi bozmak, blockchain işlemlerinin ele geçirilmesini veya akıllı sözleşmelerin geçersiz kılınmasını gerektirir; bunların her ikisi de blockchain operatörleri ve düğüm sağlayıcıları ile koordinasyon gerektirir.
Uzlaşma Göstergeleri
Güvenlik ekipleri potansiyel SharkStealer enfeksiyonlarını araştırırken aşağıdaki IoC’leri araştırmalıdır:
| Kategori | Gösterge |
|---|---|
| BSC Testnet RPC Uç Noktası | https://data-seed-prebsc-1-s1.binance.org:8545 |
| Akıllı Sözleşme Adresi | 0xE7E24F1A3D9C5B7E8A6D2F4C3B9A8E5F1D2C3B4 |
| Gömülü AES Anahtarı (onaltılık) | 0123456789ABCDEF0123456789ABCDEF |
| Şifre Çözme Yöntemi | Döndürülen IV’ü kullanan AES-CFB |
| Örnek C2 Alanı | saldırgan-c2.example.com |
| Örnek C2 IP’si | 198.51.100.23 |
Ağ günlüklerini izlerken, eth_call isteklerinin alışılmadık kalıpları (özellikle tek bir sözleşme adresine tekrarlanan çağrılar) uyarıları tetiklemelidir. Ana bilgisayar tabanlı algılama, sabit kodlu AES anahtarını veya SharkStealer ikili dosyasındaki karşılık gelen şifre çözme rutinini tanımlamak için YARA kurallarından yararlanabilir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.