Bilgisayar Korsanları, Güvenlik Açığı Olan MS-SQL Sunucularını Kullanarak PurpleFox Kötü Amaçlı Yazılımını Dağıtıyor

Purple Fox zararlı yazılımı, 2018 yılından beri aktif olarak faaliyet göstermekte ve yeni bir teknik kullanarak yükünü MS SQL sunucuları üzerinden teslim etmektedir.

Saldırganlar, kötü yönetilen MS SQL sunucularını hedef alır ve kötü niyetli MSI dosyalarını kurmak ve rootkit olarak gizlenmek için PowerShell komutlarını yürütürler.

Purple Fox rootkit, 2022 yılı başlarından beri sahte kötü niyetli bir Telegram kurulum programı kullanılarak dağıtılan aktif bir zararlı yazılım kampanyasıdır.

PowerShell, sqlservr.exe işlemi tarafından yürütülüyor

 

AhnLab Security Emergency Response Center (ASEC), Purple Fox zararlı yazılımının kötü yönetilen MS-SQL sunucularına yüklendiğini AhnLab Smart Defense (ASD) kullanılarak tespit etti.

Saldırı İşleyişi: Başlangıçta, saldırganlar sqlservr.exe üzerinden PowerShell çalıştırdı ve bu URL’den indirilen şifrelenmiş PowerShell’i yürüttü.

İndirilen PowerShell, saldırgan tarafından yazılmış MsiMake adında bir fonksiyon içerir ve MsiMake komutu, bu MSI dosyasını sisteme kurmak için yürütülür. Powershell, yalnızca MSI dosyalarını kurmakla kalmaz, aynı zamanda zafiyetleri sömürmek için kullanılabilecek bir yürütülebilir dosya (Invoke-Tater) ve bir PowerShell komut dosyası içerir.

Başka bir PowerShell komut dosyası (Invoke-ReflectivePEInjection), zararlı yazılım dosyalarını dosyasız bir şekilde çalıştırmanıza olanak sağlar.

Saldırgan, PowerShell kodu kullanarak kullanıcı müdahalesi olmadan yönetici olarak kötü niyetli bir MSI dosyası kurabilir.

MSI dosyası, PurpleFox zararlı yazılımını hizmet ayrıcalığıyla çalıştırmak ve kalıcılığını sağlamak için bir kayıt defteri anahtarı değiştirir.

MSI paketi dosyası, kalıcılık ve ayrıcalık yükseltme için bir kayıt defteri anahtarı değiştirir.

Saldırganlar, bu teknikle belirli dosyaları ve görevleri zamanlamak, silmek veya yeniden adlandırmak için kullanır.

Sistem yeniden başladığında, kötü niyetli kod Sistem Olay Bildirim Sistemi hizmeti (SENS hizmeti) üzerinden çalıştırılır. Zararlı yazılım genellikle bir rootkit kurar ve sadece güvenli kipte başlatılabilen bir hizmet oluşturur.

EDR yazılımına erişimi olan güvenlik yöneticileri, enfeksiyon vektörlerini saldırganların kullanmadan önce kapatıp, zararlı yazılımın yayılmasını önleyebilirler.

IOC

f725bab929df4fe2626849ba269b7fcb // MSI package
d88a9237dd21653ebb155b035aa9a33c // Obfuscated PowerShell

About The Author

Reply