Cisco Talos’taki siber güvenlik araştırmacıları, yakın zamanda, Alchimist adlı belgelenmemiş bir C2 çerçevesinin kullanımıyla aşağıdaki sistemlerin hedef alınabileceğini belirlediler:-
Insekt adlı bir işaret implantı, GoLang dilinde yazılmış Alchimist C2 çerçevesini tamamlıyor. Uzaktan erişim özelliklerine ek olarak, Alchimist C2 çerçevesi, otomasyonla kullanılabilmesi için C2 sunucusu tarafından donatılabilir.
Simyacının Teknik Analizi
Bir Insekt faresi, otomatik saldırıları kolaylaştırmak için Chinese Alchemist çerçevesinin bir parçası olarak serbest bırakılır.
Alchimist C2 çerçevesi altında GoLang’da bir dizi 64-bit yürütülebilir dosya yazılmıştır. Tüm bu yürütülebilir dosyalar uyumluluğu daha kolay ve daha uygun hale getirdiğinden, bu yürütülebilir dosyaları çok çeşitli büyük işletim sistemleriyle entegre etmek mümkündür.
Alchimist, Çinli bilgisayar korsanları arasında çok popülerlik kazanan bir çerçeve olan Manjusaka’ya çok benzer bir arayüze sahiptir. Bunun dışında Alchimist ile ilgili en ilginç şeylerden biri, web arayüzünün basitleştirilmiş Çince olarak sunulmasıdır.
Operatörler, virüslü cihazlarda Alchimist kullanarak yükleri oluşturup yapılandırabilir ve yalnızca bununla kalmaz, aynı zamanda aşağıdaki yasa dışı şeyleri yapmalarını sağlayan sezgisel ve kullanımı kolay bir platform sunar:-
- Uzaktan ekran görüntüsü al
- İsteğe bağlı komutları yürütün
- Uzaktan kabuk kodu yürütme
Insekt İmplant Enfeksiyon Zinciri
Alchimist, truva atını özel bulaşma mekanizmaları aracılığıyla dağıtmak için aşağıdaki öğeleri bırakacak şekilde özelleştirilebilir: –
- Böcek RAT truva atı
- PowerShell kodu parçacıkları (Windows için)
- wget (Linux için)
Derleyici zamanında kendinden imzalı bir sertifika oluşturuldu ve bunu implanta gömmek, implanta sabit kodlanmış bir C&C sunucusunun adresini içerir.
Talos raporuna göre daha sonra C&C sunucu adresine saniyede 10 deneme ile bir ping işlemi yapılacak. Ancak kötü amaçlı yazılım programı, önceki tüm denemeler başarısız olursa, bir saat sonra yeniden bağlantı kurmaya çalışır.
Etkilenen Windows ve Linux sistemlerinde, Alchemist sunucusu tarafından verilen komutlar Insekt implantı tarafından yürütülür.
Burada, Insekt’in virüslü sistemlerde yapabileceği yasa dışı eylemleri aşağıda özetledik: –
- Dosya boyutlarını al
- İşletim sistemi bilgilerini alın
- cmd aracılığıyla keyfi komutları çalıştırın[.]exe
- Yeni kullanıcı oluşturma yeteneği
- SSH anahtarlarını değiştir
- Mevcut Insekt implantını yükseltin
- Bağlantı noktası ve IP taramaları gerçekleştirin
- Farklı bir kullanıcı olarak rastgele komutlar çalıştırın
- C2 tarafından tanımlanan süreler boyunca uyku
- Ana bilgisayarda kabuk kodunu yürütün
- Ekran görüntüsü almayı başlat/durdur
- Güvenlik duvarını devre dışı bırak
- SOCKS5 kullanarak proxy olarak hareket edin
- Dosyaları diske yaz
- Dosyaları diske paketinden çıkarın
Ayrıca, operatör için işleri daha kolay hale getirmek için kurbanın ana dizininde “.ssh” dizininin tüm içeriği Insekt implantın Linux varyantı tarafından listelenir.
Bundan sonra ~/.ssh/authorized_keys dosyasına, yeni oluşturulan tüm SSH anahtarları onun tarafından eklendi. Ardından, kurbanın C&C cihazıyla SSH aracılığıyla bağlantı kurmak için saldırgan bunu kullanır.
Siber güvenlik uzmanları, Alchimist’in karmaşık siber saldırıların gerçekleştirildiği herhangi bir karmaşık bileşen oluşturma konusunda ileri düzeyde bilgiye sahip olmayan acemi tehdit aktörleri için en iyi seçeneklerden biri olduğunu ima etti.
Sıfır Güven Ağı ile Siber Saldırı – Ücretsiz E-Kitap İndirin