Finansal verileri hedef alan en kötü şöhretli kötü amaçlı yazılım türlerinden biri olan Ursnif bankacılık Truva Atı, tespit edilmekten kaçınmak ve hassas bilgileri çalmak için gelişmiş tekniklerin kullanıldığı karmaşık bir kampanyada gözlemlendi.
Yakın zamanda Cyble Research and Intelligence Labs (CRIL) tarafından analiz edilen bu kampanya, çok aşamalı, gizli bir saldırı yoluyla sistemlere sızmak için Ursnif truva atını kullanarak öncelikle ABD’deki iş profesyonellerini hedef alıyor.
Ursnif bankacılık Truva Atı Saldırısının Temel Ayrıntıları
CRIL’in araştırması, görünüşte zararsız olan ve PDF belgesi olarak gizlenen bir LNK (kısayol) dosyasıyla başlayan kötü niyetli bir kampanyayı ortaya koyuyor. Dosya genellikle ZIP arşivleri içeren spam e-postalar aracılığıyla gönderilir. Şüphelenmeyen kullanıcılar bu dosyayı açtığında, sonuçta ele geçirilen sistemde Ursnif bankacılık truva atını çalıştıracak bir dizi komutu tetikler.
Kampanyanın karmaşıklığı, tüm kötü amaçlı etkinlikleri tamamen bellekte yürütme yeteneğinde yatmaktadır ve bu da geleneksel güvenlik çözümlerinin tehdidi tespit etmesini zorlaştırmaktadır. Ursnif truva atı yüklendikten sonra Komuta ve Kontrol (C&C) sunucusuna bağlanır ve saldırganın virüslü makineden hassas verileri çalmasına olanak tanıyan ek kötü amaçlı yükler indirmeye başlar.
Enfeksiyon Süreci
Enfeksiyon zinciri, kötü amaçlı LNK dosyası içeren bir ZIP dosyası açıldığında başlar. “staplesds02_23.pdf” adlı bir PDF’ye benzeyen LNK dosyası aslında çift uzantılı (.pdf.lnk) olup, kullanıcıları bunun yasal bir belge olduğuna inandırmak için tasarlanmıştır.
LNK dosyası yürütüldüğünde, bir sonraki aşamadaki yükün kodunu çözen ve yürüten Windows yardımcı programı certutil.exe’yi çağırır: kötü amaçlı bir HTML Uygulaması (HTA) dosyası.
Mshta.exe tarafından yürütülen HTA dosyası, iki amaca hizmet eden bir VBScript içerir: kurbanı yanıltmak için bir PDF yem belgesi görüntüler ve sisteme kötü amaçlı bir DLL dosyası bırakır. Bu DLL dosyası, içine gömülü ek yüklerin şifresini çözerek bir yükleyici görevi görür. Yük, her ikisi de Ursnif çekirdek bileşeninin yürütülmesinden sorumlu olan kabuk kodunu ve başka bir DLL dosyasını içerir.
Ursnif Truva Atı’ndan Kaçınma Taktikleri
Ursnif bankacılık Truva Atı’nı özellikle tehlikeli kılan şey, tamamen bellekte çalışabilmesi ve virüslü sistemin diskinde çok az iz bırakmasıdır. DLL yükleyici, kabuk kodunun şifresini çözer ve ardından saldırının bir sonraki aşamasını, yani başka bir DLL dosyasını yükler. Bu ikinci aşama DLL dosyası, saldırganın C&C sunucusuna bağlanan ve kurbanın makinesinden hassas bilgileri sızdırmaya başlayan çekirdek Ursnif truva atını içeriyor.
Ursnif’in kaçırma teknikleri, güvenlik araçlarının genellikle güvendiği certutil.exe ve mshta.exe gibi iyi bilinen sistem yardımcı programlarının kullanımını içerir. Truva Atı, bu yardımcı programlardan yararlanarak birçok geleneksel güvenlik kontrolünü atlayabilir ve tespit edilmesi daha zor hale gelebilir.
Ursnif’in Yükünün Teknik Analizi
Kötü amaçlı LNK dosyası çalıştırıldıktan sonra saldırının ilk adımı, dosyaya gömülü Base64 kodlu verilerin kodunu çözmek için certutil.exe’nin kullanılmasıdır. Bu verilerin kodu çözüldüğünde bir HTA dosyasının oluşturulmasıyla sonuçlanır. HTA dosyası daha sonra sahte bir PDF belgesini çıkarıp görüntülerken, aynı anda kötü amaçlı DLL’yi sistemin geçici klasörüne bırakıyor.
Bir sonraki aşama, DLL dosyasını bir sistem bileşeni olarak kaydeden regsvr32.exe kullanılarak DLL dosyasının yürütülmesini içerir. DLL, bir yükleyici olarak işlev görüyor ve kabuk kodu ve Ursnif bankacılık truva atını yürütmek için çok önemli olan başka bir DLL dahil olmak üzere, içine gömülü şifrelenmiş kaynakların şifresini çözüyor.
Kabuk kodu, şifresi çözüldükten sonra, çekirdek Ursnif bileşeni olarak hizmet veren ikinci aşama DLL’nin belleğe yüklenmesinden sorumludur. Bu aşama, Truva Atı’nın C&C sunucusuyla bağlantı kurmasını sağlar; bu da, virüslü makineden veri çalmak için tasarlanmış ek modüllerin indirilmesini kolaylaştırır.
C&C Sunucusu ile iletişim
Ursnif çekirdek modülü yüklendikten sonra, daha fazla veri almak için saldırganın C&C sunucusuyla iletişim kurar. Bu iletişim şifrelenir ve tespit edilmeyi önlemek için özel olarak hazırlanmış özel bir format kullanır. Kötü amaçlı yazılım, sunucuyla iletişimi güvence altına almak için CryptAcquireContextW ve CryptEncrypt gibi API’leri kullanıyor ve bu da güvenlik çözümlerinin kötü amaçlı etkinliği tanımlamasını daha da zorlaştırıyor.
Kötü amaçlı yazılım, C&C sunucusundan bir yanıt aldıktan sonra, saldırıyı tırmandıracak başka kötü amaçlı yazılım veya araçlar içerebilecek ek kötü amaçlı yükler indirmeye hazırlanır. Kötü amaçlı yazılım, aynı anda kötü amaçlı yazılımın yalnızca bir örneğinin çalışmasını sağlamak için bir muteks oluşturma gibi gelişmiş özellikler bile uygulayarak tespit edilmekten kaçınır.
Çözüm
Ursnif bankacılık truva atı, geleneksel güvenlik savunmalarını aşmak için gelişmiş tekniklerden yararlanan, son derece gelişmiş yeni bir kötü amaçlı yazılım dalgasını temsil ediyor. Meşru sistem yardımcı programlarından yararlanarak ve bellekteki her şeyi çalıştırarak Ursnif, hassas verileri çalarken tespit edilmekten kurtulabiliyor.
Cyble, olağandışı etkinlikleri tanımlamak için davranış tabanlı izleme de dahil olmak üzere gelişmiş algılama sistemlerinin kullanılmasını önerir. Kuruluşlar e-posta ekleri ve bağlantıları konusunda dikkatli olmalı, daha güçlü e-posta filtrelemesi uygulamalı ve certutil.exe ve mshta.exe gibi sistem yardımcı programlarının kullanımını yakından izlemelidir. Ek olarak, EDR çözümlerinin dağıtılması, en az ayrıcalık ilkelerinin uygulanması ve davranış tabanlı algılamanın kullanılması bu tür saldırıların riskini daha da azaltabilir.
İlgili