Bilgisayar korsanları, kötü amaçlı yazılım yoluyla Uzak Masaüstü Protokolünü (RDP) hedef alır çünkü bu, onlara kurbanın bilgisayarına veya ağına uzaktan erişim olanağı sağlayarak şunları yapmalarına olanak tanır: –
- Veri çalmak
- Fidye yazılımı dağıtın
- Diğer kötü amaçlı faaliyetleri yürütmek
IBM X-Force’taki siber güvenlik araştırmacıları yakın zamanda Gootloader grubunun CobaltStrike gibi geleneksel çerçeveler yerine C2 ve yanal hareket için yeni bir araç olan GootBot’u piyasaya sürdüğünü doğruladı.
Gootloader Kötü Amaçlı Yazılım RDP’yi Kötüye Kullanıyor
Yanal hareket için gizli bir Gootloader çeşidi olan GootBot, algılamayı zorlaştırır. Grup, kurbanları hedeflemek için SEO zehirlemesini kullanıyor ve yükleri hızla yayıp dağıtırken tespitleri önlemek için özel botlarını tanıtıyor.
GootBot, enfeksiyon sonrası yeteneklerini genişleterek şifreli PowerShell komut dosyalarını çalıştırarak tehdit aktörlerinin daha uzun süre gizli kalmasını sağlıyor. Bunun yanı sıra, Gootloader daha önce genellikle ilk erişim için kullanılıyordu.
IBM X-Force raporuna göre GootBot, saldırıya uğramış WordPress siteleri aracılığıyla kurumsal alanlara sızan ve tespit edilemeyen etkinliklerle risk oluşturan, tek bir C2 sunucusuna sahip yalın bir PS komut dosyasıdır.
Hive0127 (aka UNC2565) 2014’ten beri aktif ve Gootloader’ı SEO zehirlenmesi ve saldırıya uğramış WordPress siteleri aracılığıyla dağıtarak fidye yazılımını ve daha fazlasını etkinleştiriyor.
Gootloader, kullanıcının virüslü bir arşivi indirmesiyle başlar ve bu da, %APPDATA% dosyasına stratejik olarak yerleştirilen karmaşık JavaScript dosyalarına yol açar.
Bu virüs, etkinlikleri kalıcı olacak şekilde planlamak ve dinamik PowerShell yürütülmesine izin vermek için veri toplayan ve güvenliği ihlal edilmiş WordPress tabanlı C2 sunucularına bağlanan aşamaları kullanır.
Üstelik bu yeni varyant, tek bir C2 sunucusuna sahip hafif bir PowerShell betiğidir ve şunları sağlar: –
- Eşzamansız yürütme
- Daha düşük EDR tespiti
GootBot her 60 saniyede bir, belirli bir dizeyle ayarlanabilen işaretler verir. C2’deki alt işler için görev sonuçlarını yönetir, tamamlanmamış işler için ‘E1’i ve eksik olanlar için ‘E2’yi gönderir.
Gootloader tarafından kullanılan numaraya benzer şekilde, Base64 kodlamasından sonra dizeyi gizlemek için modülo tabanlı bir yaklaşım kullanılır.
GootBot, POST isteklerini C2 sunucusuna göndererek 100.000 karakterin üzerindeyse verileri böler. Konakçıları enfekte etmek için çeşitli teknikler kullanılarak yanal olarak yayılır.
C2’si çeşitli yükler oluşturur ve bunları otomatik olarak dağıtır. Yanal hareket için WinRM, SMB ve WinAPI kullanılır.
Ortam değişkenleri şifrelenmiş dizeleri saklayarak komut dosyası boyutunu azaltır. GootBot, yeni süreçler oluşturarak PowerShell süreç bağımsız değişkenlerini taklit eder.
GootBot ayrıca aşağıdaki verileri toplayan bir keşif komut dosyası çalıştırır: –
- Etki alanı kullanıcı adı
- İşletim Sistemi (kayıt anahtarından)
- 64bit mimari ise (x86 dizini ve ayrıca int ptr boyutunun kontrol edilmesi)
- Etki alanı denetleyicileri
- Çalışan işlemler
- SID
- Yerel IP adresi
- Ana makine adı
Öneriler
Aşağıda, güvenlik araştırmacıları tarafından sunulan tüm önerilerden bahsettik: –
- AV araçlarını mevcut en son güvenlik güncellemeleriyle güncel tuttuğunuzdan emin olun.
- Komut dosyası bloğu günlüğünü etkinleştirin.
- Güvenlik göstergeleri için Windows olay günlüklerini izleyin.
- İndirilen ZIP’lerde JavaScript dosyasının yürütülmesini izleyin.
- Zamanlanmış görevlerde (*~1.JS) gibi kısa adlara sahip JavaScript dosyalarını başlatan “wscript.exe”ye dikkat edin.
- “xmlrpc.php” URL’leriyle biten şüpheli istekler için HTTP trafiğini izleyin.
- Şüpheli çerez değeri:
= - Şüpheli içerik biçimi:
=[sX< > ] - WinRM, WMI veya SCM üzerinden yanal hareketlere karşı her zaman dikkatli olun.
- Ortamınızda “Start-Job” Cmdlet’ini devre dışı bıraktığınızdan veya izlediğinizden emin olun.
Patch Manager Plus, 850’den fazla üçüncü taraf uygulamanın otomatik güncellemesi için tek noktadan çözüm: Ücretsiz Denemeyi Deneyin.