42. Birim siber güvenlik araştırmacıları, Advanced WildFire’ın bellek tarama araçlarını kullanarak, sömürü sonrası yeni bir kırmızı takım aracı olan Splinter’ı tespit etti.
Bellek güvenliği özellikleriyle bilinen bir programlama dili olan Rust’ta geliştirilen bu aracın birçok müşteri sisteminde bulunması, bu tür araçların sürekli olarak izlenmesi ve tespit edilmesinin gerekliliğini ortaya koymaktadır.
Splinter, hedef sisteme uzun vadeli erişimi simüle etmek ve çeşitli yollarla elde edilen ilk erişimi genişletmek için tasarlanmıştır.
İmplant kimliği, hedeflenen uç nokta kimliği, komuta ve kontrol (C2) sunucusu adresi ve oturum açma kimlik bilgileri de dahil olmak üzere operasyonları için gerekli bilgileri içeren ImplantConfig olarak bilinen JSON formatında bir yapılandırma veri yapısı kullanır.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Araç, post-sömürü çerçeveleri arasında yaygın olan görev tabanlı bir modelde çalışır. Saldırgan tarafından tanımlanan C2 sunucusundan görevleri alır.
Bu görevler arasında Windows komutlarını yürütmek, dosyaları yüklemek ve indirmek, bulut hizmeti hesaplarından bilgi toplamak ve kendini silmek yer alır.
Splinter ayrıca ek modülleri çalıştırmak için klasik işlem enjeksiyon yöntemlerini kullanır ve PE yükleyici kabuk kodunu ve yüklerini uzak işlemlere enjekte eder.
Splinter’ın keşfi, suçlular tarafından kuruluşları tehlikeye atmak için kötüye kullanılabilen, giderek artan çeşitlilikteki kırmızı takım araçlarının altını çiziyor. Bu, önleme ve tespit yetenekleri konusunda güncel kalmanın önemini vurguluyor.
Splinter’ın yoğun katmanlı çalışma zamanı koduna sahip Rust’ı kullanması, kötü amaçlı yazılım tersine mühendisleri için analizi zorlaştırır. Aracın yaklaşık 7 MB büyüklüğündeki büyük boyutu, öncelikle dosyaya statik olarak bağlı büyük harici kitaplıkların dahil edilmesinden kaynaklanmaktadır.
Rust terminolojisinde sandık olarak bilinen bu kütüphaneler çeşitli ağ ve şifreleme araçlarını içerir.
Araç, HTTPS kullanarak C2 sunucusuyla iletişim kurar, görevleri senkronize eder, kalp atışı bağlantısını korur ve belirli URL yolları aracılığıyla dosyaları indirir veya yükler.
Palo Alto Networks raporunda, bu şifreli iletişimin Splinter’ın faaliyetlerinin tespit edilip engellenmesinin karmaşıklığını artırdığı belirtiliyor.
Splinter, Cobalt Strike gibi diğer iyi bilinen sömürü sonrası araçlar kadar gelişmiş olmasa da keşfi siber güvenlikte dikkatli olma ihtiyacını ortaya koyuyor.
Kuruluşlar, gelişen tehdit ortamına karşı koymak için güvenlik önlemlerini güncellemede proaktif kalmalıdır. Splinter’ın tanımlanması, potansiyel güvenlik tehditlerinin sürekli izlenmesi ve tespitinin önemini hatırlatır.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial