SOC Hikayeleri: OneNote MalSpam – Algılama ve yanıt

[ This article was originally published here ]

Bu blog, Kristen Perreault – Profesyonel Siber Güvenlik ve Kıdemli Siber Güvenlik Uzmanı James Rodriguez ile birlikte yazılmıştır.

Yönetici Özeti

22 Aralık 2022’den bu yana, OneNote eki yoluyla Kimlik Avı e-postaları yoluyla gönderilen kötü amaçlı yazılımlarda artış oldu. Çoğu kimlik avı e-postasında olduğu gibi, son kullanıcı OneNote ekini açar, ancak Microsoft Word veya Microsoft Excel’in aksine OneNote makroları desteklemez. Tehdit aktörleri daha önce kötü amaçlı yazılım yüklemek için komut dosyalarını bu şekilde başlatıyordu.

Bu saldırılarda gözlemlenen taktikler, teknikler ve prosedürler (TTP’ler) hakkında çok az belgeleme yapılmıştır. Gözlemlenen TTP’lerden bazıları, gizli bir işlem çalıştırıldığında Powershell.exe kullanımının ve Curl.exe’nin yürütülmesini içeriyordu. Gizli yürütülebilir dosya tıklandığında, kötü amaçlı yazılım yüklemeye ve yürütmeye çalışmak için harici bir siteye bağlantı kuruldu. Saldırgan çalıştırıldıktan sonra ek kötü amaçlı dosyaları kaldıracak ve kuruluş içinden dahili bilgiler elde edecektir. Bu durumda, kötü niyetli dosyalar SentinelOne tarafından tespit edildi ve etkileri azaltıldı.

Soruşturma

İlk Alarm İncelemesi

Uzlaşma Göstergeleri (IOC)

İlk alarm, bir .One dosya türü olan SentinelOne tarafından kötü amaçlı yazılımın algılanması için geldi. Outlook’tan alınan dosya, bunun muhtemelen bir kimlik avı e-postası olduğunu gösteriyordu. İlk alarmı aldıktan kısa bir süre sonra MES SOC Tehdit Avcıları (SECTOR Ekibi), bu aktiviteyi yaşayan bir müşteri tarafından uyarıldı ve derin dalışlarına başladı. SentinelOne etkinliğinden elde edilen dosya hash’i girildiğinde, dosyanın amacına ilişkin hiçbir fark edilebilir bilgi ortaya çıkmadı. Bu, SECTOR’u, algılanan dosyanın süreci ve amacı hakkında daha fazla bilgi edinmek için Derin Görünürlükten yararlanmaya sevk etti.

Derin Görünürlük, bir ağ ortamındaki tehditlerin faaliyetleri ve davranışları hakkında kapsamlı bilgiler sağlayan SentinelOne içindeki bir özelliktir. Bu özellik, SECTOR gibi güvenlik ekiplerinin süreçler, ağ bağlantıları ve dosya etkinlikleri hakkında daha fazla bilgi sağlayarak tehditleri araştırmasına ve bunlara yanıt vermesine olanak tanır. SentinelOne’da inanılmaz derecede güçlü bir araçtır ve Olay Müdahale sürecinde yaygın olarak kullanılır.

Genişletilmiş soruşturma

Etkinlik Arama

Derin Görünürlük için dosya adını ve ilişkili dosya karmalarını içeren bir arama dizesi oluşturuldu. SentinelOne’da harici etki alanı minaato ile bir Curl.exe işlemi içeren bir olay bulundu[.]com. Etki alanı daha ayrıntılı incelendiğinde, bunun bir dosya paylaşım sitesi olduğu belirlendi ve ek kötü amaçlı göstergeler ortaya çıkarıldı. Minaato için DNS isteğini analiz etme[.]com, hedef işlem curl.exe ile mshta.exe kaynak işlemi ve onenote.exe’nin üst işlemi ile olayları gösterdi. Bu süreçler zinciri, SentinelOne’ı bir uyarı başlatmaya iten buluşsal (davranışsal) özniteliklerdi. Bu TTP ve önceki kaynak işlemleri kullanılarak, aynı etkinliği dolduran herhangi bir olası dosyayı bulmak için yeni bir sorgu oluşturuldu. Bu, SEKTÖR’ün İptal altında başka bir dosya algılamasına neden oldu[.]bir.

Olay Derinlemesine İnceleme

SECTOR, dosya adını ve giden ağ bağlantılarını oluşturan etki alanını içeren bir IOC tabanlı ilk arama sorgusuyla derinlemesine olay incelemesine başladı.

SECTOR, ilk IOC tabanlı arama sorgusunun sonuçlarından yola çıkarak, bulunan birden çok dosya adını, etki alanını ve karmaları içeren ikincil bir arama sorgusu oluşturdu. Bu IOC’ler daha önce vahşi doğada keşfedilmemişti ancak bulunduktan sonra SECTOR bunları ek algılama motorları, korelasyon kuralları ve OTX (AT&T Açık Tehdit Değişim Platformu) darbe güncellemeleri için AT&T AlienLabs ekibine sağladı.

Tüm IOC’leri topladıktan sonra, sezgisel tabanlı üçüncü bir arama sorgusu oluşturuldu. Bu yeni sorgu, davranışa dayalı faaliyetlerden ziyade yürütmeye dayalı faaliyetlere odaklandığından, SentinelOne’ın uyarı vermemiş olabileceği kötü amaçlı yazılımla ilgili kalan olayları bulmayı amaçlıyordu. Bu, geliştirilmiş güvenlik için SentinelOne’ın Derin Görünürlük özelliği ile birlikte tehdit avcılığının kullanılmasının önemini göstermektedir.

Olay aramanın son aşamasında SECTOR, bu ortamda gözlemlenen aynı davranışsal niteliklere sahip bir etki alanına herhangi bir erişimi tespit eden son bir buluşsal arama sorgusu oluşturdu. Sonuçlar yanlış pozitifler içermesine rağmen, “ping.exe” komutunun kötü amaçlı etki alanı “minaato” ile başarılı bir şekilde iletişim kurduğu bir olayı gözden geçirip bulabildiler.[.]com”. Bu durumda SentinelOne, ortak bir işlem yürütmesi olduğu için bu etkinlik hakkında uyarı vermedi.

Cevap

Soruşturmayı Oluşturma

SECTOR, gerekli tüm bilgileri ve olay bulgularını topladıktan sonra, kötü amaçlı OneNote dosyasını çekip kendi korumalı alan ortamında patlatmayı başardı. Daha sonra, dosya açıldıktan sonra, kötü amaçlı bağlantının, kullanıcıdan aç’ı tıklamasını isteyen yer paylaşımlı bir stok Microsoft görüntüsünün altında gizlendiğini görebildiler. Bu daha sonra kullanıcıyı kötü amaçlı etki alanı olan minaato’ya getirdi.[.]com.

SECTOR, bu tehdit avından toplanan tüm verileri, durumsal farkındalık için etkilenen müşterilere ve AT&T içindeki diğer CyberSecurity Ekiplerine sağladı.

Müşteri etkileşimi

Etkilenen müşterilere, bu kötü amaçlı yazılımla deneyimledikleri belirli etkinliklere dayalı olarak düzeltme adımları verildi. Bazıları başarılı bir şekilde ele geçirildi, diğerleri ise kötü amaçlı yazılımın kendisi ile bağlantılı herhangi bir yürütme veya indirme işleminden kaçınabildi. Bu düzeltme adımları, etkilenen cihazlardan tüm dosyaların kaldırılmasını, en iyi uygulamalar için tüm kullanıcı parolalarının sıfırlanmasını, arka planda başka yetkisiz veya kötü niyetli etkinliğin meydana gelmediğinden emin olmak için varlıkların taranmasını, tüm IOC’lerin küresel olarak engellenmesini ve güvenlik duvarlarında engelleme kurallarının uygulanmasını içeriyordu.

IOCS

reklam