ChaosBot adlı gelişmiş, Rust tabanlı bir kötü amaçlı yazılımın, Komuta ve Kontrol (C2) operasyonları için Discord platformunu kullandığı ortaya çıktı.
Bu sizin ortalama botnet’iniz değil; popüler, meşru hizmet üzerinden iletişim kurarak kötü amaçlı trafiğini gizleyen ve geleneksel güvenlik araçları için tespitini önemli ölçüde zorlaştıran yeni nesil bir tehdittir.
ChaosBot, kimlik bilgilerini Discord API ile doğrulayarak ve ardından kurbanının bilgisayarının adını taşıyan özel bir metin kanalı oluşturarak çalışıyor.
Bu kanal, saldırganların kabuk, indirme ve scr (ekran görüntüsü) gibi komutları doğrudan kanala gönderdiği ve kurbanın makinesinin sonuçları ekli dosyalar olarak geri gönderdiği etkileşimli, gizli bir kabuk görevi görür.
Tehlikeyi daha da artıran kötü amaçlı yazılım, güvenlik araştırmacılarının radarından uzak durmak için Windows için Windows Olay İzleme (ETW) işlevine yama uygulamak ve Sanal Makine MAC adreslerini kontrol etmek gibi gelişmiş anti-analiz tekniklerini kullanıyor.
Çift Saldırı Vektörleri
İlk izinsiz giriş, hem CiscoVPN’in hem de “serviceaccount” adlı aşırı ayrıcalıklı bir Active Directory hesabının kimlik bilgilerinin tehlikeye atılmasıyla kolaylaştırıldı.
Saldırganlar, ağ üzerinden uzaktan komut yürütmek için Windows Yönetim Araçları’nı (WMI) kullanarak ChaosBot’u dağıtmak ve yürütmek için bu erişimden yararlandı.
Msedge_elf.dll olarak gizlenen ChaosBot verisi, C:\Users\Public\Libraries dizinindeki meşru Microsoft Edge bileşeniidentity_helper.exe’ye karşı DLL tarafından yandan yükleme yoluyla yürütüldü.
Alternatif ve aynı derecede sinsi bir yöntem olan ChaosBot operatörleri, Vietnam Devlet Bankası’ndan gelen meşru yazışmalar gibi görünmek üzere tasarlanmış kötü amaçlı Windows Kısayol (.lnk) dosyalarını kullanan kimlik avı kampanyaları kullanıyor.
Kısayol, ChaosBot kötü amaçlı yazılımını indirip çalıştıran bir PowerShell komutunu çalıştırırken aynı zamanda kurbanı yanıltmak için zararsız bir PDF belgesini indirip açar ve enfeksiyon için aldatıcı bir kılıf sağlar.
Sahte PDF, Vietnam merkez bankasının, finans kurumları için yeni uyumluluk gereklilikleri hakkında referans numaraları ve resmi düzenleyici dille tamamlanan son derece resmi bir iletişimini taklit ediyor. Bu sosyal mühendislik taktiği, kritik enfeksiyon aşamasında kurban şüphesini azaltmak için devlet kurumlarının otoritesinden ve güvenilirliğinden yararlanıyor.
Görünmez Komuta Kanalı
ChaosBot, API etkileşimleri için reqwest veya serenity kitaplığından yararlanan Rust programlama dilinde yazılmıştır.
Kötü amaçlı yazılım, bir Discord bot belirteci, Guild (sunucu) kimliği ve Kanal Kimliği ile yapılandırılarak platformun yasal altyapısıyla kusursuz entegrasyon sağlar.
Kötü amaçlı yazılım önce Discord API’sine basit bir GET isteği ile bot jetonunu doğruluyor, ardından tehdit aktörünün Discord sunucusunda kurbanın bilgisayar adını vererek yeni, özel bir kanal oluşturuyor.
Kötü amaçlı yazılım daha sonra genel kanala bir ilk mesaj göndererek operatörleri yeni güvenlik ihlali konusunda bilgilendirir. Şaşırtıcı bir şekilde, bilinen tüm bağlı sunuculardaki genel kanalın adı “常规” (Çince’de “normal” veya “genel” anlamına gelir) olarak adlandırılmıştır; bu, operatörlerin Discord’un Çince sürümünü kullandığını veya Çince konuşan üyelere sahip olduğunu düşündürebilir.
ChaosBot sürekli bir döngü üzerinden çalışarak kurbanın özel Discord kanalındaki yeni mesajları (komutları) kontrol ediyor.
Yanal hareket ve keşif için birincil komut, komutları çıktı için zorunlu UTF8 kodlamasıyla PowerShell aracılığıyla yürüten kabuktur.
Komutun yürütülmesinden sonra, sonuçlar (bir kabuk komutundan, bir ekran görüntüsünden veya bir dosyadan stdout/stderr olsun) çok parçalı/form-veri formatı kullanılarak bir ek olarak kanala geri aktarılır ve saldırgana Discord aracılığıyla kesintisiz, etkileşimli bir kabuk deneyimi sağlanır.
Gelişmiş Kaçınma Teknikleri
ChaosBot tespit ve analizden kaçınmak için karmaşık teknikler kullandı. Yeni varyantlar, ilk talimatları xor eax, eax ve ardından ret ile değiştirerek bellekteki ntdll!EtwEventWrite’ın ilk birkaç talimatını yamalar.
Bu, süreç için ETW telemetrisini başarıyla devre dışı bırakarak Uç Nokta Tespiti ve Yanıtı (EDR) ve sanal alan görünürlüğünü engeller; bu, kötü amaçlı yazılımın birçok modern güvenlik çözümü tarafından tespit edilmeden çalışmasına olanak tanıyan kritik bir kör noktadır.
Kötü amaçlı yazılım ayrıca sistemin MAC adreslerini VMWare (00:0C:29, 00:50:56, 00:05:69) ve VirtualBox (08:00:27) gibi Sanal Makineler için bilinen öneklerle karşılaştırarak kontrol eder. Bir eşleşme bulunursa, kötü amaçlı yazılım, korumalı alan ortamlarındaki analizden kaçmak için yürütmeyi durdurur; bu da operatörlerin güvenlik araştırma metodolojileri konusundaki farkındalığını ve tespit edilmekten kaçınma konusundaki kararlılıklarını gösterir.
İlk uzlaşmanın ardından tehdit aktörleri, meşru hızlı ters proxy (frp) aracını dağıtarak ve yürütülebilir dosyayı Asya Pasifik (Hong Kong) bölgesindeki bir Amazon Web Services (AWS) IP’sine işaret eden yapılandırmayla node.exe olarak kaydederek derhal kalıcı erişim oluşturmaya odaklandı.
Saldırganlar ayrıca meşru Visual Studio Code Tunnel hizmetini kullanarak ek bir arka kapı kurmaya çalıştı ve bu, komut yürütme yetenekleri için güvenilir bulut hizmeti özelliklerini denemeye ve bunlardan yararlanmaya yönelik aktif bir çabayı ortaya çıkardı.
Kuruluşlar, tüm harici erişim noktaları ve ayrıcalıklı hesaplar için Multi-Factor Authentication’ı (MFA) uygulamalı, Discord API uç noktalarına giden olağandışı HTTP/S trafiğini aktif olarak izlemeli ve Genel kullanıcı profili dizinleri gibi şüpheli konumlardan yetkisiz yük yürütülmesini önlemek için uygulama beyaz listesini zorunlu kılmalıdır.
Düzenli kimlik avı farkındalığı eğitimi ve bellek yamalama tekniklerini tespit edecek şekilde yapılandırılmış EDR çözümleri, meşru platformları kötü amaçlarla silah haline getiren bu yeni ortaya çıkan tehdide karşı savunma sağlamak için çok önemlidir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.