Kod imzalama sertifikası, yazılım geliştiricilerin uygulamalarını imzalamasına olanak tanıyan dijital bir sertifikadır.
Bu, hem “yayıncının orijinalliğini” hem de “kodun bütünlüğünü” sağlar. HarfangLab araştırmacıları yakın zamanda tehdit aktörlerinin tespitlerden kaçmak için orijinal kod imzalama sertifikalarını aktif olarak kötüye kullandığını keşfetti.
Siber güvenlik araştırmacıları yakın zamanda Ekim 2024’te “Lumma Stealer” kötü amaçlı yazılımını içeren önemli bir siber tehdit tespit etti.
“Lumma Stealer”ın dahil olduğu bu siber tehdit, “HijackLoader” kötü amaçlı yükleyicisi aracılığıyla dağıtılıyor.
Bu kampanya, kurbanları bilmeden zararlı “PowerShell komutlarını” çalıştırdıkları kötü amaçlı web sitelerine “cezbeden” “sahte CAPTCHA” saldırısı olarak adlandırılıyor.
Analyse Any Suspicious Files With ANY.RUN: Intergarte With You Security Team -> Try for Free
Bilgisayar Korsanları Orijinal Kod İmzalama Sertifikalarını Kötüye Kullanıyor
Bu komutlar genellikle bir “DLL yandan yükleme paketi” içeren bir ‘ZIP arşivini’ “indirir” ve “çalıştırır” ve bu daha sonra “HijackLoader”ı çalıştırır.
2 Ekim 2024’te “imzalı HijackLoader” örneğinin tespit edilmesiyle dikkat çeken bir gelişme yaşandı.
Güvenlik önlemlerinden kaçmak için “meşru kod imzalama sertifikası” kullanıldığı tespit edildi.
Bu örnek, “me3ar40.quickworld” adresindeki bir C&C sunucusuyla iletilen “SHA-256 hash 1839b7152814b16b9f28326081f16bf9c5bbbb380005232c92d25c9a3e36e337″ ile birlikte gelir.[.]mağaza.”
İmzalı kötü amaçlı yazılımların kullanılması, “Firefox” tarayıcısını taklit eden başka bir örnekte (SHA-256: f158c65261bcab6e93927a219d12f596a4e40857bbd379f9889710ea17251e5e) gösterildiği gibi, “güvenlik ürünleri” tarafından tespit edilme oranlarını önemli ölçüde azalttı.
“DLL’nin yandan yüklenmesi”nden imzalı ikili dosyalara kadar taktiklerdeki bu evrim, “kötü amaçlı yazılım dağıtımında” kullanılan “güvenliği aşılmış kod imzalama sertifikaları” konusunda daha fazla araştırmaya yol açan, geleneksel güvenlik önlemlerini aşmaya yönelik karmaşık bir girişimi temsil ediyor.
Siber güvenlik araştırmacıları, HarfangLab EDR tespitine dayalı bir araştırma başlattı ve kötü amaçlı yazılımları imzalamak için kullanılan birden fazla “kötüye kullanılan kod imzalama sertifikasını” ortaya çıkardı.
İki ana teknik kullandılar: –
- İlk olarak, “quickworld” gibi bilinen “HijackLoader” C2 ana bilgisayar adlarından yola çıktılar.[.]Bu URL’lere erişen imzalı yürütülebilir dosyaları tanımlayarak “shop”. Bu, kötüye kullanılan iki sertifikanın keşfedilmesine yol açtı.
- İkinci olarak, kötü amaçlı örneklerin “ikili meta verilerini” (“telif hakkı”, “orijinal ad”, “açıklama”) analiz ettiler ve “Wise Folder Hider” gibi bazı yasal yazılımların kimliğine büründüğünü belirttiler.
“İmzalı taklitçilere sahip imzasız meşru yazılım” veya “farklı imzalı taklitçilere sahip meşru imzalı yazılım” gibi şüpheli ikili dosyaları işaretlemek için güçlü eşleşmeler geliştirdiler.
Bu süreçte kötüye kullanılan üç sertifika daha ortaya çıktı. Araştırmacılar, kötü amaçlı örneklerin doğrulanmasına ve daha fazla analiz için yeni C2 alanlarının çıkarılmasına yardımcı olan bu teknikleri yineledi.
Kötüye kullanılan sertifikaları veren yetkililere bildirdiler ve bu da saatler veya bir gün içinde iptallerle sonuçlandı.
“Sertifikaların çalındığını” mı yoksa “kasıtlı olarak mı oluşturulduğunu” kesin olarak belirleyemeseler de, kod imzalama sertifikalarının büyük ölçüde otomatikleştirilmiş bir şekilde alındığına dikkat çektiler.
Tam analiz, yazılım güvenilirliğini belirlemek için kod imzalarının tek başına yetersiz olduğunu vurguladı.
Bu, “davranış izleme” ve “uç noktalarda bellek içi tarama” dahil “çok katmanlı algılama stratejilerine” olan ihtiyacı gösteriyor.
How to Choose an ultimate Managed SIEM solution for Your Security Team -> Download Free Guide(PDF)