Yakın zamanda gözlemlenen kötü amaçlı yazılım dağıtım kampanyası, gelişmiş dosyasız teknikler ve büyük ölçüde tespit edilmeden kalmasını sağlayan zorlu bir ağ altyapısı kullanmaktadır.
Microsoft’un Nodersok olarak adlandırdığı kampanya, popüler Node.js Framework’ün Windows uygulaması olan Node.exe ve bir ağ paketi yakalama ve manipülasyon aracı olan WinDivert uygulamasının kötüye kullanılarak virüs bulaştırılmasına dayanıyor.
Son birkaç hafta içinde, çoğu ABD ve Avrupa’da bulunan binlerce makine kampanyadan etkilendi. Microsoft, enfekte sistemlerin yaklaşık %3’ünün kuruluşlar içinde olduğunu, ancak saldırının daha çok son kullanıcıları hedefledğini söylüyor.
Saldırı, büyük olasılıkla tehlikeye atılmış reklamlar yoluyla bir HTML Uygulamasının (HTA) teslim edilmesiyle başlar. Dosya, komut ve denetim (C&C) sunucusundan içerik almaya çalışan ek JavaScript kodunu indirmek için rasgele adlandırılmış bir etki alanına bağlanmaya çalışır.
İndirilen dosya daha sonra bir RC4 ile şifrelenmiş dosyayı ve şifre çözme anahtarını indirmek için uzak C&C etki alanıyla bağlantı kurmaya çalışır. Dosya, kötü amaçlı bir PowerShell betiğini başlatan ek bir JavaScript kod parçasıdır.
Enfeksiyon işlemi, yürütülmeden önce anında şifresi çözülmüş birkaç şifreli modülü indirmek ve çalıştırmak için ek PowerShell scriptleri başlatmaya devam eder. Modüllerden biri, Windows Defender Antivirus ve Windows güncellemelerini devre dışı bırakmaya çalışır, ardından ayrıcalık yükseltmeye çalışan ikili kabuk kodunu çalıştırır.
PowerShell aşamalarından biri meşru node.exe aracını indirirken, bir diğeri WinDivert paket yakalama kitaplığı bileşenlerini indirir. Başka bir PowerShell bileşeni, belirli giden paketlerin filtrelenmesi ve değiştirilmesi için WinDivert’i kullanmak için bir kabuk kodu yürütür.
Sonunda, bazı Node.js modülleriyle birlikte bir JavaScript yükü ve virüs bulaşmış makineye kitaplıklar şner ve çalıştırılması için node.exe kullanılır.
Microsoft bu saldırının amacının, virüslü makineleri zombi proxy’lerine dönüştürmek olduğunu söylüyor. Saldırganlar daha sonra bu vekilleri web sitelerine, C&C sunucularına ve tehlikeye atılmış makinelere erişmek ve gizli kötü niyetli faaliyetlerde bulunmak için kötüye kullanabilir.
WinDivert aracı, bir TCP bağlantısı başlatmak için gönderilen paketlere müdahale etmek ve bunları saldırganlara fayda sağlayacak şekilde değiştirmek için kullanılır.
Saldırı da aynı zamanda Cisco Talos araştırmacıları tarafından keşfedilen Divergent zararlı yazılım yükü kullanıldı. Ayrıca, saldırının ilk sürümünün bileşenleri JScript olarak sunduğunu ve çalıştırdığını ve yalnızca daha yeni sürümlerin çok aşamalı PowerShell komut dosyalarına geçtiği görüldü.
Divergent tarafından kullanılan C&C protokolü tarafından desteklenen komutlar ve parametreler, başlattığı bir işlemi sonlandırmasını ve karşılık gelen dosyaları kaldırmasını, belirtilen bir bileşenin işlemini sonlandırmasını ve bir bileşen zaten mevcutsa bir dosyayı çalıştırmasını sağlar.
Talos açıklamasında “Kötü amaçlı yazılım ayrıca, belirli kayıt defteri anahtarlarından ek yapılandırma verileri alabilir, ardından belirtilen dosyaları indirmek, diske yazmak ve daha sonra bunları çalıştırmak için ek istekler gönderebilir” dendi.
Güvenlik araştırmacısı, bu kampanyanın arkasındaki saldırganların, virüs bulaşmış makinelerin tıklama sahtekarlığı yapmak için kötüye kullanabileceğini de belirtti.
Microsoft, “Hem dağıtılmış ağ altyapısı hem de gelişmiş dosyasız teknikler bu kampanyanın bir süredir tespit edilememesini sağladı ve bu saldırıları zamanında tespit etmek ve karşı koymak için doğru savunma teknolojilerine sahip olmanın ne kadar önemli olduğunu vurguladı” dedi. Saldırının dosyasız olması geleneksel imza tabanlı virüsten koruma programlarınca algılanmasını zorlaştırdı.