Kaspersky’nin Araştırma Birimi Sekürelistindeki siber güvenlik araştırmacıları, GhostContainer olarak adlandırılan yeni ve son derece özelleştirilmiş bir kötü amaçlı yazılım ortaya koydu. Bu sofistike arka kapı, Asya’daki yüksek değerli kuruluşlarda Microsoft Exchange sunucularını aktif olarak hedefleyen, saldırganlara tehlikeye atılmış sistemler üzerinde kapsamlı kontrol sağladığı ve potansiyel veri uygulaması da dahil olmak üzere çeşitli kötü amaçlı etkinlikler sağladığı bulunmuştur.
GhostContainer’ı Anlamak
GhostContainer, standart sunucu bileşenlerini taklit ederek algılamadan kaçınmak için tasarlanmış çok fonksiyonlu bir arka kapıdır. Adlı bir dosya olarak teslim edilir ‘App_Web_Container_1.dll‘ve 32.8 kb dosya boyutuna sahiptir. Temel işlevselliği ek indirilebilir modüllerle genişletilir. Araştırmacılar, saldırganların başlangıç erişimini elde etmek için değişim sunucularında bilinen, eşleştirilmemiş bir güvenlik açığından (N-Day güvenlik açığı) muhtemelen kullandıklarını belirtiyorlar.
GhostContainer’ın temel bir bileşeni, bir komut ve kontrol (C2) ayrıştırıcısı görevi gören ‘saplama’ sınıfıdır. Shellcode’u yürütebilir, dosyaları indirebilir, komutları çalıştırabilir ve ekstra .NET bayt kodu yükleyebilir. Özellikle, Stub sınıfı, belirli adreslerin üzerine yazarak, gizliliğine daha fazla yardımcı olarak antimal yazılım tarama arayüzünü (AMSI) ve Windows olay günlüğünü atlamaya çalışır.
Araştırmacılar, saldırganlar ve sunucu arasında aktarılan verilerin AES şifrelemesi kullanılarak korunduğunu ve ASP.NET doğrulama anahtarından türetilen anahtarla korunduğunu belirlediler. Kötü amaçlı yazılım yetenekleri arasında sistem mimarisi almak, kabuk kodunu çalıştırmak, komut satırlarını yürütmek ve dosyaları yönetme yer alır.
Sofistike özellikler ve açık kaynaklı kökler
GhostContainer ayrıca bir ‘sanal sayfa enjektör’ sınıfı içerir (App_Web_843e75cf5b63) Dosya kontrollerini atlamak ve bir .NET yansıma yükleyicisi yüklemek için hayalet sayfalar oluşturur. Bu yükleyici daha sonra web proxy sınıfını etkinleştirir (App_Web_8c9b251fb5b3), kötü amaçlı yazılımın merkezi bir unsuru. Bu web proxy bileşeni, web proxy, soket yönlendirme ve gizli iletişim için özelliklere sahiptir.
Securelist’in soruşturması, saldırganların GhostContainer’ı inşa etmek için birkaç açık kaynaklı projeden yararlandığını da ortaya koydu. Örneğin, saplama sınıfı ExchangeCmdPy.pyExchange Güvenlik Açığı CVE-20120-0688’den yararlanmak için açık kaynaklı bir araç.
Benzer şekilde, sanal sayfa enjektörü kod kullanır ‘PageLoad_ghostfile.aspx‘ve Web Proxy bileşeni, başka bir açık kaynak projesi olan’ Neo-Regeorg’un özelleştirilmiş bir sürümüdür. Özel modifikasyonlarla kamu araçlarının bu karışımı, saldırganların ileri becerilerini sergiliyor.
Yüksek değerli kuruluşları hedeflemek
Araştırmacılar tarafından toplanan telemetri verileri, GhostContainer’ın gelişmiş bir Kalıcı Tehdit (APT) kampanyasının bir parçası olduğunu göstermektedir. Belirlenen kurbanlar şimdiye kadar her ikisi de Asya’da bulunan kilit bir devlet kurumu ve yüksek teknoloji ürünü bir şirketi içeriyor.
Saldırganlar geleneksel bir C2 altyapısına güvenmez; Bunun yerine, düzenli değişim web isteklerine komutları yerleştirerek tehlikeye atılan sunucuyu kontrol ederler. Bu yaklaşım, belirli IP adreslerini veya alanlarını tanımlamayı zorlaştırır.
Bu saldırı faaliyetlerinin tam kapsamıyla ilgili soruşturma devam etmektedir. Bu arada, kuruluşlar, bilinen güvenlik açıklarını kapatmak için değişim sunucuları ve diğer yazılımlar için mevcut tüm güvenlik güncellemelerini ve yamaları hızlı bir şekilde hareket ettirmeli ve hemen uygulamalıdır.