Walmart’ın Siber İstihbarat Ekibi, Zloader/SilentNight kötü amaçlı yazılımının yeni bir varyantıyla ilişkilendirilen daha önce bilinmeyen bir PowerShell arka kapısını tespit etti. Bu arka kapı, tehdit aktörlerine sistemlerde daha fazla erişim sağlamak ve Zloader gibi diğer kötü amaçlı yazılımları dağıtmak amacıyla geliştirilmiş.
Arka kapı, sofistike gizleme teknikleri kullanarak kendini saklıyor ve bu, onun yeni Zloader varyantıyla birlikte kullanılma olasılığını güçlendiriyor. Ancak, Walmart’ın bu keşfi yaptığı süreçte perakende devinin hedef alındığına dair herhangi bir belirti bulunmadığı bildirildi. Walmart’ın siber istihbarat ekibi, tehditleri proaktif olarak araştırırken bu yeni bulguyu ortaya çıkardı.
Walmart sözcüsü, tehdit aktörünün Zloader/SilentNight ile bağlantılı olabileceğini ve dolayısıyla olası ihlal ve fidye saldırılarına yönelik bir tehdit oluşturabileceğini belirtti. Zloader, başlangıçta bir bankacılık Truva atı olarak tanındı, ancak zaman içinde birçok yeni işlev ekleyerek önemli bir evrim geçirdi. Kötü amaçlı yazılım, yıllar içinde Ryuk, DarkSide ve Black Basta gibi çeşitli Rus fidye yazılımı gruplarıyla ilişkilendirildi.
Saldırganların Karartmaya Yönelmesi
Walmart, yeni tespit edilen PowerShell arka kapısının, daha önce gözlemlenen PowerDash adlı PowerShell kötü amaçlı yazılımıyla bazı benzerlikler taşıdığını duyurdu. Özellikle, her iki yazılımın da komuta ve kontrol (C2) altyapısına veri gönderme yöntemleri ve arka kapının önemli bileşenlerini gizleme stratejileri bakımından benzer şaşırtma teknikleri kullandığı belirtildi.
PowerDash, 2023 yılında keşfedilmiş olup, ele geçirilen sistemlerden bilgi toplama, bu bilgileri saldırganların kontrolündeki C2 sunucularına iletme ve daha fazla komut bekleme işlevlerine sahiptir. Walmart’ın Siber İstihbarat Ekibi, yeni PowerShell arka kapısının VirusTotal gibi tespit hizmetlerinde yalnızca çok az örneğinin bulunduğunu ve bu durumun tespiti zorlaştırdığını belirtti. Ayrıca, bu örneklerin çoğu sandbox ortamlarında başarılı bir şekilde çalışmıyor gibi görünüyor, bu da onların uzun süre gözden kaçmasına neden oluyor.
Walmart, arka kapının yapılandırmasının, bazı gelişmiş tehdit aktörleri tarafından arka kapılar için komut dosyası dillerine geçişin daha geniş bir eğilimini yansıttığını gözlemledi. Walmart’ın sözcüsü, “Tehdit aktörlerinin ve kötü amaçlı yazılımların virüs bulaşmış sistemlerden bilgi toplamak için kullandığı yaygın kodlanmış dizeleri tespit etmek, temel bir önlem olarak tavsiye edilir” şeklinde yorumda bulundu.
Bilinmeyen PowerShell Arka Kapısı Nasıl Çalışır?
Araştırmacılar aşağıdaki PowerShell dosyasını analiz ederek işe başladılar:
Compilation Timestamp 2023-05-29 16:24:50 UTC MD5:
83aa432c43f01541e4f1e2f995940e69 SHA-1:
931b6fd3e7ee5631fbc583640805809d9f2acc58 SHA-256:
82f33adfecd67735874cdc9c2bfd27d4b5b904c828d861544c249798a3e65e7e
Daha sonra aynı özelliklere uyan ve AgilDotNet tarafından paketlenmiş .NET olan iki dosya daha keşfettiler:
Compilation Timestamp 2023-05-30 10:31:17 UTC MD5:
41563d1f34b704728988a53833577076 SHA-1:
72a572ce8247f80946e71f637c3403228543d9a3 SHA-256:
66a69d992a82681ee1d971cc2b810dd4b58c3cfd8b4506b3d62fe1e7421fb90b
Compilation Timestamp 2023-05-30 10:31:14 UTC MD5:
e447362fb2686062a3dfc921c10dd6c7 SHA-1:
544599ef72cbd97fe50e4169c8401270ff3b917b SHA-256:
b513c6940ed32766e1ac544fc547b1cb53bc95eced5b5bcc140d7c6dce377afb
İkili dosya analiz edildikten sonra, arka kapının işlevi ve şifresi çözülerek, PowerShell betiği içinde sabit bir dosya adının belirlendiği ortaya çıkarıldı. PowerShell betiği üzerinde yapılan kontroller başarısız olursa, kötü amaçlı yazılım kendini başka bir yere taşır ve mevcut verileri temizler. Başarılı olursa, betik bir dizi değişkeni ayarlayarak işlemi devam ettirir.
Bu süreç, çalıştırılabilir dosyanın yanında diske bir VB indiricisi yazmayı da içerir. İndirici, base64 kodlaması yapılmış çift URL içerir ve bu URL’yi şifresi çözülerek açığa çıkarır. Daha sonra, kodlanmış URL’den dosya indirip çalıştıracak bir curl komutu yürütür. Komutun başarılı olup olmadığını kontrol ettikten sonra görevler, rastgele bir GUID ile kodlanmış bir adla yüklenir.
Arka planda, betik bir çalıştırma anahtarı ayarlar ve sistemdeki internet bağlantısını ve yönetici haklarını kontrol eder. Walmart ekibi, betik içinde “yoğun bir şekilde gizlenmiş” kod parçaları tespit etti ve bu kodları çıkararak detaylı bir analiz gerçekleştirdi.
İlk kod bloğu, sanal makineleri (VM) tespit ederek analiz girişimlerini engellemeye yönelikti. Bir sonraki blok, botun komuta ve kontrol (C2) sunucusuna göndereceği bilgileri ve verilen komutlara vereceği yanıtları düzenliyordu. Bu işlem şifreleme CBC modunda AES kullanılarak yapılıyor.
Bu şifreleme yöntemi, keşif yapılmasını engellemekte, ek makine bilgilerini toplamakta ve ilk çalıştırma sırasında C2’ye gönderilecek verilerin kodlanmasını sağlamaktadır.
SonicWall’un 2024 Yıl Ortası Siber Tehdit Raporu, PowerShell’in, geliştiriciler tarafından kullanılan meşru bir Windows otomasyon aracı olmasına rağmen, kötü amaçlı yazılım ailelerinin %90’ından fazlası tarafından istismar edildiğini ortaya koydu. PowerShell komut dosyaları, tespiti zorlaştırmak ve ek kötü amaçlı yazılımlar indirmek gibi çeşitli kötü amaçlı amaçlar için kullanılmaktadır.
