Sliver Cyberattack, DLL Sideloading ile Alman Firmalarını Hedefliyor

   Ocak 21, 2025  Posted in ThecyberExpress


Cyble Araştırma ve İstihbarat Laboratuvarları (CRIL) yakın zamanda Alman kuruluşlarını hedef alan yeni bir siber saldırıyı ortaya çıkardı. Bu saldırı, aşağıdaki gibi karmaşık tekniklerden yararlanır:DLL Yan Yükleme, DLL Proxy Oluşturma ve Şerit uygulamasıSistemlerden ödün vermemek. Saldırı, tespit edilmekten kaçınmak ve kurbanın ağı içinde kalıcı bir dayanak oluşturmak için bu gelişmiş yöntemleri kullanır.

İlk olarak CRIL tarafından tespit edilen ve devam eden kampanya, sistemlere sızmak için son derece aldatıcı bir yaklaşım kullanıyor. Arşiv dosyası içeren bir kimlik avı e-postasıyla başlar. Açıldığında zararsız gibi görünen arşivde şunlar yer alıyor: kurbanın sisteminden yararlanmak için tasarlanmış çeşitli bileşenler. En dikkate değer dosyalardan biri, çalıştırıldığında, sahte bir uzaktan çalışma sözleşmesi olan “Homeoffice-Vereinbarung-2025.pdf” başlıklı görünüşte zararsız bir belgeyi açan bir kısayol (.LNK) dosyasıdır. Ancak asıl hasar arka planda meydana gelir.

LNK dosyasının yürütülmesi üzerine sistem, C:WindowsSystem32 dizininde bulunan meşru bir yürütülebilir dosya olan wksprt.exe’yi çalıştırır. Bu yürütülebilir dosya, sisteme kötü amaçlı bir DLL dosyası (IPHLPAPI.dll) yükleyen bir teknik olan DLL Yan Yükleme işlemini gerçekleştirir. İlginç bir şekilde, bu kötü amaçlı DLL, meşru bir sistem dosyasını taklit edecek şekilde tasarlanmıştır ve güvenlik önlemlerini atlama şansını artırır.

Kötü amaçlı DLL, yürütülebilir dosya tarafından yapılan işlev çağrılarını engellemek ve bunları başka bir meşru DLL’ye iletmek için DLL Proxying’i kullanır. Bu proxy tekniği, arka planda zararlı kabuk kodunu çalıştırırken kötü amaçlı DLL’nin tespit edilmeden kalmasına olanak tanır. Kabuk kodu, yürütüldükten sonra son yükün şifresini çözer ve çalıştırır: Düşman emülasyonunda ve Kırmızı Takım tatbikatlarında komuta ve kontrol operasyonları için kullanılan popüler bir açık kaynaklı çerçeve olan Sliver implantı.

DLL Yan Yüklemesi ve DLL Proxy’si: Bulaşma Süreci

DLL Yan Yükleme Enfeksiyon ZinciriDLL Yan Yükleme Enfeksiyon Zinciri
Enfeksiyon Zinciri (Kaynak: Cyble)

Saldırı, kurbanın IPHLPAPI.dll, ccache.dat ve Homeoffice-Vereinbarung-2025.pdf.lnk gibi adlara sahip çeşitli dosyaları içeren arşiv dosyasını çıkarmasıyla başlıyor. Dosyalar ilk bakışta zararsız görünüyor ve PDF belgesi birincil cazibe görevi görüyor. Ancak LNK dosyası yürütüldüğünde, wksprt.exe ve diğer kötü amaçlı dosyaları, %localappdata% yolu altındaki gizli Intel klasörü de dahil olmak üzere belirli sistem dizinlerine kopyalayan bir komut dizisini tetikler.

Kalıcılığı sağlamak için wksprt.lnk kısayolu sistemin Başlangıç ​​klasörüne yerleştirilerek, sistem yeniden başlatıldığında kötü amaçlı yazılımın otomatik olarak yürütülmesi sağlanır. Bu işlem sırasında kötü amaçlı DLL dosyası, başka bir meşru DLL yüklemek için DLL Proxying’i kullanır ve bu, daha sonra gömülü kabuk kodunu içeren şifrelenmiş ccache.dat dosyasının okunmasına yardımcı olur.


Tarayıcınız video etiketini desteklemiyor.

Gelişmiş Kaçınma Teknikleri

Bu saldırıda kullanılan DLL Sideloading ve DLL Proxying teknikleri, geleneksel algılama mekanizmalarını aşmak açısından çok önemlidir. Kötü amaçlı IPHLPAPI.dll dosyası, standart bir sistem dosyası gibi görünecek şekilde tasarlanmıştır; bu da güvenlik araçlarının bu dosyayı kötü amaçlı olarak tanımlamasını zorlaştırır. Ayrıca saldırganlar, DLL Proxying’i kullanarak kötü amaçlı kodlarını arka planda çalıştırırken, etkilenen uygulamanın normal davranışını koruyabilirler.

Ccache.dat dosyası okunup şifresi çözüldüğünde, kabuk kodunu ortaya çıkarır ve bu da gerçek veriyi almak için başka bir şifre çözme işlemini çalıştırır. Bu çok katmanlı şifre çözme, güvenlik çözümlerinin, zaten hasara neden olana kadar saldırıyı tespit etmesini daha da zorlaştırıyor. Son yük, saldırganın sunucusuyla bir iletişim kanalı kurarak saldırganın ele geçirilen sistem üzerinde daha fazla işlem yürütmesine olanak tanıyan Sliver implantıdır.

Saldırıda Şeridin Rolü

Red Team operasyonlarına yönelik açık kaynaklı bir çerçeve olan Sliver implantı, saldırganlar tarafından virüslü sistemi kontrol etmek için kullanılıyor. Bu çerçeve, ele geçirilen ağın gelişmiş uzaktan kontrolüne ve izlenmesine olanak tanır. İmplant, veri çalmaktan ek kötü amaçlı yazılım dağıtmaya kadar çok çeşitli kötü amaçlı etkinlikleri yürütmek için kullanılabilir.

AçıkŞerit implantı ac olduğundantive, özellikle uzak sunuculara bağlanır:

  • hxxp://www.technikzwerg[.]de/auth/auth/authenticate/samples.html
  • hxxp://www.technikzwerg[.]de/auth/auth/authenticate/samples.php

Bu uzak uç noktalar, saldırganlar tarafından kurbanın sisteminden daha fazla yararlanmak için kullanılıyor ve bu da ek kötü amaçlı yüklerin yüklenmesini veya hassas verilerin sızmasını kolaylaştırıyor.

Potansiyel İlişkilendirme

Saldırının ayrıntıları hâlâ araştırılıyor olsa da, bunun genellikle gelişmiş kalıcı tehditlerle (APT) ilişkilendirilen tanınmış bir siber tehdit grubu olan APT29’un işi olabileceğini gösteren çeşitli göstergeler var. DLL Sideloading’in kullanımı, Sliver’ın konuşlandırılması ve saldırının karmaşık doğası, daha önce APT29 kampanyalarında gözlemlenen taktiklerle tutarlıdır. Ancak DLL Proxying’in kullanıma sunulması, önceki operasyonlarında görülmemiş yeni bir tekniktir ve kesin atıf yapmayı zorlaştırır.

Alman Kuruluşları için Etkiler

Almanca dilindeki yem belgesi ve ilk arşiv dosyasının Almanya’daki bir konumdan VirusTotal’a yüklendiği gerçeğinin de gösterdiği gibi, saldırı özellikle Almanya’daki kuruluşları hedef alıyor. İçişleri Bakanlığı Anlaşması gibi görünen cazibe belgesi, Almanya’da artan uzaktan çalışma trendinden yararlanmak için tasarlanmış gibi görünüyor ve bu da onu ülkenin mevcut işgücü dinamikleriyle oldukça alakalı hale getiriyor.

Bu siber saldırı, özellikle yüksek değerli verilere veya kritik altyapıya sahip işletmeleri ve kuruluşları hedef alan modern tehditlerin giderek artan karmaşıklığını vurguluyor.

Öneriler ve Azaltmalar

Bu gibi saldırılara karşı korunmak için kuruluşlar aşağıdaki önlemleri uygulamayı düşünmelidir:

  1. Kötü amaçlı ekler içerebilecek kimlik avı e-postalarını tanımlamak ve engellemek için e-posta filtreleme sistemlerini güçlendirin.
  2. LNK dosyaları veya yetkisiz DLL’ler gibi şüpheli dosyaların yetkisiz yürütülmesini önlemek için beyaz listeyi kullanın.
  3. Algılamak ve belirlemek için EDR çözümlerini dağıtın DLL Yan Yükleme ve kabuk kodu ekleme etkinliklerini engelleyin.
  4. Beklenmeyen bağlantılar gibi olağandışı etkinliklere karşı giden ağ trafiğini izleyin Şerit endp’yemerhemler veya diğer şüpheli sunucular.
  5. Çalışanlarınızı kimlik avının tehlikeleri ve bilinmeyen gönderenlerden gelen e-posta eklerini veya bağlantıları açarken dikkatli olmanın önemi konusunda eğitin.

Çözüm

Alman kuruluşlarını hedef alan şerit implant kampanyası, siber tehditlerin giderek daha karmaşık hale geldiğini gösteriyor. Saldırganlar, DLL Sideloading ve DLL Proxying gibi teknikleri kullanarak geleneksel güvenlik önlemlerini atlayabilir ve güvenliği ihlal edilmiş sistemlere kalıcı erişim sağlayabilir. Bu çok aşamalı saldırı, giderek karmaşıklaşan tehditlere karşı koymak için gelişmiş tespit ve savunma stratejilerine olan ihtiyacın altını çiziyor.



Source link