Brickstorm, teknoloji ve hukuk endüstrileri içindeki son derece kaçınılmaz bir arka kapı hedefleme organizasyonları olarak ortaya çıktı ve kritik ağlara sızmak için güven ilişkilerini kullandı.
İlk olarak 2015 ortasında tespit edilen bu kötü amaçlı yazılım, algılamayı önlemek için çok aşamalı yükleyicileri ve gizli iletişim kanallarını kullanır.
Erken kurbanlar uzak masaüstü oturumlarında olağandışı gecikme bildirdi ve daha derin adli soruşturmalar başlattı.
Kampanya geliştikçe, Brickstorm meşru sistem süreçlerine karışmak için olağanüstü bir yetenek göstererek olay müdahale çabalarını karmaşıklaştırdı ve bekleme süresini uzattı.
İlk analiz, Brickstorm’un birincil yayılma vektörü, silahlandırılmış belge ekleri içeren mızrak-aktı e-postaları olduğunu ortaya koymaktadır.
Bu ekler, yaygın olarak kullanılan bir belge oluşturma motorunda sıfır günlük bir kusurdan yararlanır ve hafif bir yükleyici açıldıktan sonra sessizce dağıtır.
Bazı durumlarda, hukuk sektöründeki kuruluşlar, vaka özetlerinin veya sözleşme değişikliklerinin yem olarak cazibesini kaydetti.
Yükleyici daha sonra, uzlaşmış bir bulut depolama hizmetinden şifreli bir yük getirir ve yanal harekete başlamadan önce gizli bir dayanak oluşturur.
Google Cloud analistleri, altyapı izleme platformunda anormal trafik kalıplarını gözlemledikten sonra tuğla fırtınasını belirledi.
.webp)
Son nokta sensörlerinden ve ağ günlüklerinden telemetrinin ilişkilendirilmesi, araştırmacılar standart olmayan bağlantı noktalarını kullanarak olağandışı alan adlarıyla bağlantılarını kaydetti.
Bu keşifler, arka kapının daha önce görülmemiş bir modüler kötü amaçlı yazılım ailesine atfedilmesiyle sonuçlanan endüstri sertifikalarında tehdit istihbarat paylaşımını hızlandırdı.
Brickstorm’un karakteristik bir özelliği, operatörlerin işlevselliği hedef ortama göre uyarlamasını sağlayan modüler tasarımıdır.
Çekirdek modüller arasında sistem keşif, kimlik bilgisi hasat ve güvenli iletişim kanalları bulunur. Dağıtım üzerine Brickstorm, çalışma süreçlerini ve ağ soketlerini açar, operatörleri yüksek değerli hedeflere ve aktif güvenlik araçlarına uyarır.
Uygun bir hedef bulunduğunda, arka kapı bir keşif modülünü belleğe enjekte eder ve bellek içi işlem dökümleri yoluyla kimlik bilgilerini çıkarır.
Tüm veriler, geleneksel çıkış filtreleme kurallarını etkili bir şekilde atlayarak DNS üzerinde bir HTTP tüneli kullanılarak eklenir.
Kalıcılık taktikleri
Brickstorm’un kalıcılık mekanizmasına girmek, dinamik olarak kayıtlı planlanan görevlere dayanan kurnaz bir yaklaşım ortaya koyar.
Kalıcı kayıt defteri girişleri oluşturmak yerine, arka kapı, meşru sistem bakım işlerini taklit etmek için adlandırılmış geçici planlanmış bir görev üretir.
Her sistem önyükleme üzerine görev, yükleyiciyi alternatif veri akışlarında depolanan segmentli parçalardan yeniden yapılandıran bir PowerShell komutu yürütür.
.webp)
Bu teknik sadece benign dosyalardaki arka kapı bileşenlerini gizlemekle kalmaz, aynı zamanda her çalışmadaki parça konumlarını da döndürür ve statik uzlaşma göstergelerini önler.
$parts = Get-Item -Path "C:\Windows\System32\drivers\etc\hosts":frag*
$loader = ""
foreach ($p in $parts) {
$loader += ([IO.File]::ReadAllText($p.Name))
}
Invoke-Expression $loaderAlternatif veri akışlarından yararlanarak, Brickstorm dosya tabanlı savunmaları kaldırır ve diskte minimum izler bırakır.
Olay müdahalecileri genellikle reklam girişlerini göz ardı ederek arka kapının yeniden başlatmalarda tespit edilmemesine izin verir.
Ayrıca, dinamik görev adlarının kullanımı, her dağıtım farklı görünebileceğinden, log analizi sırasında kolay korelasyonu önler.
Bu taktikleri anlamak, anormal planlanan görevleri ve reklam etkinliklerini gerçek zamanlı olarak ortaya çıkaran tespit kurallarını geliştirmeyi amaçlayan savunucular için kritiktir.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
