SOC’den hikayeler: Çok aptal hissediyorum – SocGholish uzlaşmayla ilerliyor

   Ekim 17, 2022  Posted in CyberSecurity-Insiders


[ This article was originally published here ]

Yönetici Özeti:

FakeUpdate olarak da bilinen SocGholish, en az 5 yıldır siber güvenlik profesyonellerinin ve organizasyonlarının başını belaya sokan tavizler yoluyla sosyal mühendislikte kullanılan bir JavaScript çerçevesidir. Güvenliği ihlal edilmiş bir web sitesini ziyaret ettikten sonra, kullanıcılar bir tarayıcı güncellemesi için bir sayfaya yönlendirilir ve kötü amaçlı bir JavaScript dosyası içeren bir zip arşiv dosyası indirilir ve ne yazık ki genellikle aptal son kullanıcı tarafından açılır ve yürütülür.

SentinelOne (S1) tarafından desteklenen Managed Endpoint Security (MES) içeren bir AT&T Managed Extended Detection and Response (MXDR) istemcisi, bu JavaScript dosyalarından birinin algılanması ve azaltılmasıyla ilgili bir uyarı aldı. Bu istemciye atanan MXDR Tehdit Avcısı, kötü amaçlı dosyanın yürütülmesinden kaynaklanan etkinlikte onlara yol gösterdi ve ayrıca olaya dahil olan ana bilgisayarın kontrol altına alınması ve düzeltilmesi hakkında ek rehberlik sağladı.

Soruşturma

Son kullanıcı tarafından yürütülen kötü amaçlı dosyanın takip etkinliğinin tespiti üzerine S1, S1 portalında bir Olay oluşturdu. Bu da, USM Anywhere platformunda, MXDR SOC ekibinin çalıştığı, incelediği ve gerektiği şekilde müşteri bildirimi için Araştırmalar oluşturduğu bir Alarm oluşturur. Bu aktivite S1’in tamamında gözlemlendiğinden, bu analiz oradan çıkacaktır.

Resim 1

Bir S1 olayına bakmaya başlamanın en iyi yolu, Derin Görünürlükte Olayın Öyküsü’ne gitmektir.

Derin Görünürlük derin dalış

Olayla ilgili tüm olaylara sahip olduğumuzda, etkilenen ana bilgisayarla ilgili tüm etkinlikler için yaklaşık bir saat öncesinden olay için ilk olaya kadar yeni bir Derin Görünürlük araması da oluşturabiliriz. Bu, kötü amaçlı JavaScript dosyasının yürütülmesine yol açan ana bilgisayarda ne olduğunu görmeye çalışmamıza izin verecektir.

Hem sunucudaki genel günlüklerden hem de Hikaye ile ilgili olaylardan olayları inceleyerek, olayların kaba bir zaman çizelgesini oluşturabiliriz. Zaman çerçevesinde sunucuda 15k’ye yakın etkinlik ve Storyline’da toplam 448 etkinlik olduğunu unutmayın; Ben sadece menfaat uğruna ilginç bulguların üzerinden geçiyorum.

  1. 12:07:08 Kullanıcı Chrome’da geziniyor ve elektrik inşaatıyla ilgili şirketleri aramak için Google aramasını kullanıyor; Her iki sitenin de WordPress tarafından desteklendiği iki sitenin ziyaret edildiğini görüyoruz. SocGholish kampanyası, savunmasız WordPress web sitelerine kötü amaçlı kod enjekte ederek çalışır. Potansiyel olarak güvenliği ihlal edilmiş sitelerde enjekte edilen kodu bulamamama rağmen, sayfadaki banner’lardan birinin spam mesajları içerdiğini görüyorum; Bununla ilgili herhangi bir bağlantı veya özellikle kötü amaçlı herhangi bir şey olmamasına rağmen, bu sitenin bir dereceye kadar güvenli olmadığını bize bildirir.

Kötü afiş

  1. 12:10:46 Kullanıcı bir temize yönlendirildi[.]tanrı mesajı[.]İlk indirme için com. Muhtemelen şöyle görünürdü:
    krom yanlış
    İstek için URI’nin VirusTotal’da görüldüğü ve açık kaynak zekasında (OSI) açıklandığı gibi /rapora benzediğini varsayabiliriz. “Temiz” alt etki alanının, kök etki alanından farklı bir çözünürlüğe sahip olduğunu unutmayın; bu, saldırganlar tarafından meşru etki alanının DNS ayarlarında yeni bir A kaydı oluşturarak gerçekleştirilen etki alanı gölgelemedir:
    Yeni A rekoru
    Yeni A rekoru 2
  2. 12:12:19 Chrome diskte oluşturur: “C:Kullanıcılar[redacted]İndirilenlerChrome.Updаte.zip”.
  3. 12:13:11 Kullanıcı zip dosyasını açtı ve içindeki JavaScript dosyasını yürütüyor: “C:Users[redacted]AppDataLocalTempTemp1_Сhrome.Updаte.zipAutoUpdater.js”. Tetikleyen ilk şey, hxxps://2639’a gönderilen bir POST isteğidir.[.]roller[.]Tanrıların gücü[.]com/updateResource – bu ilk giriştir.
    İlk check-in
  4. 12:13:15 Komut dosyası, Bilgisayar Adı, Kullanıcı Adı, Kullanıcı Etki Alanı, Bilgisayar Üreticisi, BIOS bilgileri, Güvenlik Merkezi durumu ve Casus Yazılımdan Koruma Ürünü, Ağ Bağdaştırıcısı bilgileri, MAC adresi ve işletim sistemi sürümü gibi sistem bilgilerini almak için komutları takip eder. Yine bir POST isteği var, ancak bu, değerlendireceği ve yürüteceği ek JavaScript’i aşağı çekmek içindir:
    Sistem bilgisi çekme
    URI’yi oluşturmak için bilgiler toplanır:
    URI oluşturma
  5. 12:13:20 POST isteği hxxps://2639’a gidiyor[.]roller[.]Tanrıların gücü[.]com/updateResource.
    Artık yeni bir URL kullanılıyor: hxxps://2639[.]roller[.]Tanrıların gücü[.]com/settingsKontrol
    yeni URL'den yararlanıldı
  6. 12:13:23 Ek komutlar artık uçuyor:
    ek komutlar uçuyor
  7. 12:13:24 Whoami’yi kullanılan komutlardan biri olarak görüyoruz. Whoami.exe host üzerinde çalıştırılır ve bilgi sızma için Temp klasöründeki “radDCADF.tmp” dosyasına yazılır.
    whoami kaldıraçlı
  8. 12:31:36 nltest /domain_trusts için tmp dosyasına yönelik komutlar:
    TMP dosyası oluşturma
  9. 12:34:19 nltest /dclist:[redacted] gözlemlenen:
    NLtesti
  10. 12:37:36 Etki alanı bilgilerini yol tmp dosyasına çekme komutu ve POST işlemi gözlemlendi:
    alan bilgisi çekme
  11. 12:48:39 C2 sunucusunda bir veri akışı olan “rad0A08F.tmp” oluşturma komutları. Dosya daha sonra 81654ee8.js olarak yeniden adlandırılır ve wscript.exe ile yürütülür:
    veri akışı c2 sunucusu
    Aşağıdaki etkinlik, bu yeni komut dosyası ile önceki komut dosyasının bir karışımıdır.
  12. 12:49:11 Bir veri akışından “C:ProgramDatarad6598E.tmp”ye bir dosya oluşturma ve ardından “rad6598E.tmp”yi “jdg.exe” olarak yeniden adlandırın.
    yürütülebilir dosyayı yeniden adlandır
    Saldırganların etkinliği, S1’in bu Öykü ile ilgili ek eylemleri engellediği ve yürütülebilir ad ve karma ile ortam genelinde döndürme işlemi ek sonuç vermediği için burada sona erer. İstemci o zamandan beri ana bilgisayarı ağdan kaldırdı ve yeniden oluşturdu.

Tepki

Müşteri etkileşimi

MXDR SOC, USM Anywhere içinde bir Soruşturma oluşturdu ve müşteriyi bu olay hakkında bilgilendirdi. Müşteriye atanan Tehdit Avcısı, daha sonra onlara ek bağlam, bulgular ve sınırlama ve iyileştirme önerileri sağlamak için takip etti.

Söz konusu ana bilgisayar ağdan kaldırıldı ve yeniden oluşturuldu ve kullanıcının kimlik bilgileri sıfırlandı. Güvenlik açığıyla ilgili etki alanları ve IP adresleri müşteriye sağlandı ve proxy ve güvenlik duvarında derhal engellendi. Aynı dosya karmalarını tekrar görmemiz pek olası olmasa da, olayla ilgili tüm dosyaların karmaları S1’de engellenenler listesine alındı.

SocGholish’e karşı koruma

Ölüm, vergiler ve SocGholish hayattaki kesinliklerdir ancak kuruluşların enfeksiyonları önlemek için atabileceği adımlar vardır. Elbette hizmetle, özellikle de MES ile ortaklık kurmak, kuruluşunuzu ve kullanıcılarınızı korumanın harika bir yolu olacaktır, ancak burada yalnızca SocGholish’i önlemek için değil, aynı zamanda genel saldırı yüzeyinizi azaltmak için göz önünde bulundurmanız gereken adımlar şunlardır:

  • Çalışanları aşağıdaki sosyal mühendislik saldırıları konusunda eğitin:
    • Sahte tarayıcı veya işletim sistemi güncellemeleri
    • Sahte işletim sistemi hataları veya yardım için aramalarını söyleyen mesajlar
    • Çalışandan araçları veya yazılım güncellemelerini indirmesinin istendiği kimlik avı ve kimlik avı saldırıları
  • Grup İlkesi aracılığıyla ortam genelinde “Bilinen Dosya Uzantısını Gizle”yi kapatın
    • Zip arşivi içindeki JavaScript dosyasının, bir yürütülebilir dosyaya kıyasla dosyanın bir .js dosyası olduğunu göremedikleri için, bir kullanıcı tarafından tıklanma olasılığı daha yüksektir. Saldırgan dosyası başlatılabilir bir yürütülebilir dosyaysa, elbette bu tartışmalı bir noktadır, ancak kullanıcı tabanındaki bu ayar, daha bilinçli kullanıcıların olası çift uzantılı hileleri veya simge manipülasyonunu tanımasına yardımcı olabilir.
  • .js dosyalarının yürütülmesini engelle
    • JavaScript dosyalarının yanı sıra .iso, .cab, .wsf ve diğerleri gibi diğer yaygın saldırı dosyası biçimlerinin dosya ilişkilendirmesini kaldırmak, kullanıcıların yalnızca nadiren kullanılan dosyaları yürütmesini engelleyebilir.
  • Kuralları platform veya uygulama engelleme yazılımı içinde uygulayın
    • Komut satırının .zip ve .js içerdiği wscript.exe etkinliğinin tespiti
    • Üst işlemin wscript.exe olduğu cmd.exe’den nltrust.exe ve whoami.exe’nin algılanması
    • ProgramData klasöründen doğrudan çalışan yürütülebilir dosyaların algılanması, örneğin C:ProgramDatajdg.exe
      • Yürütülebilir dosyaların Genel, Müzik, Resimler vb. gibi diğer yaygın olmayan klasörlerden de yürütülmesi.
    • URI için POST isteklerinin tespiti: /updateResource ve /settingsCheck
    • URI’lerin kuruluşunuzun biçimiyle eşleşen ana bilgisayar adları, MAC adresleri gibi bilgileri ve etki alanı denetleyici ana bilgisayar adları gibi etki alanınızla ilgili diğer bilgileri içerdiğinin algılanması

reklam





Source link