Kısa süre önce gerçekleşen Microsoft Exchange Server saldırısı gibi büyük boyutlu siber casusluk saldırılarına nadiren tanık oluyoruz. Microsoft’a göre saldırının arkasında, Çin’in desteklediği ve dört güvenlik açığını kötüye kullanan bir saldırgan grubu var.
Yazar: Trend Micro
8 Mart 2021
Okuma süresi: 2 dakika
Sadece ABD’de 30 bin kurumun saldırıdan etkilendiği düşünülüyor. Bilgisayar korsanlarının kurbanların sistemlerini uzaktan kontrol ettiği düşünüldüğünde ise dünya çapındaki rakamlar daha çarpıcı olabilir. Shodan platformu üzerinden gerçekleştirdiğimiz son kontrollerde, bu güvenlik açıklarını gidermeyen 63 bin civarında korunmasız sunucu olduğunu tespit ettik.
Kurumların önceliği Microsoft’un sağladığı yamaları kullanarak sunucuların açıklarını kapatmak olmalıdır. Ancak yamaların hemen uygulanamayacağı durumlarda korunmasız sunucuların İnternet bağlantısı vakit kaybedilmeden kesilmelidir. Bu sırada Exchange sunucusuyla çalışan herkesin olası güvenlik ihlallerini tespit etmek için sistemlerini kontrolden geçirmesi gerekiyor.
Hem Microsoft’un hem de diğer otoritelerin konuyla ilgili önerilerine tamamen katıldığımızı belirtelim. Ayrıca XDR müşterileri, Trend Micro Vision One’daki hazır sorgu kalıplarını kullanarak sistemlerinin güvenliğinin ihlal edilip edilmediğini kontrol edebilir. Bu sorgu kalıplarına Knowledge Base bölümünde yayınladığımız yazıdan erişebilirsiniz. Aynı yazıda müşterilerimizin tüm güvenlik çözümlerinde uygulayabileceği ek tespit sistemleri ve koruma önlemlerinden de bahsettik.
Peki ne olmuştu?
Saldırıların izi şimdilik, Microsoft Exchange Server’daki dört farklı sıfır gün güvenlik açığının kötüye kullanılmaya başladığı 6 Ocak 2021 tarihine kadar sürülebildi. Saldırıyı gerçekleştiren yeni bilgisayar korsanlarına Microsoft sonradan “Hafnium” adını verdi. Saldırganlar, gerçek adreslerini gizlemek için ABD’de bulunan sanal özel sunucuyu (VPS) kullandı. Microsoft, her zamanki rutin yama tarihlerinin dışına çıkarak bir acil durum yaması yayınladı. Yamanın açıklama bölümünde Microsoft konuyla ilgili bazı konulara değindi:
“Saldırganlar, incelediğimiz saldırılarda güvenlik açıklarından yararlanarak e-posta hesaplarına erişime izin veren kurum içi Exchange sunucularına sızdı. Güvenlik açıkları, sızılan sistemlere uzun vadeli erişimi kolaylaştıran başka kötü amaçlı yazılımların kurulmasına neden oldu.”
Bu açıkların her biri art arda kullanılsaydı saldırganlar kendilerini yetkili Exchange sunucusu gibi tanıtabilir, Sistem kimliği altında kod çalıştırabilir ve sunucudaki yollara istedikleri dosyaları yazabilirlerdi. Hafnium grubunun, dört güvenlik açığını kötüye kullandıktan sonra saldırıyı bir adım ileriye taşıyarak kurbanlarının bilgilerini çalmaya devam etmek ve başka kötü amaçlı saldırılarda bulunabilmek için sistemlere web kabukları yerleştirdiği söyleniyor. Bu saldırılar kapsamında, kurumları zarara uğratabilecek fidye yazılımlar da sistemlere yüklenebilirdi.
Hem Beyaz Saray hem de ABD Siber Güvenlik ve Altyapı Güvenliği Kurumu (CISA) saldırıların geniş kapsamlı olabilecek sonuçlarından ötürü oldukça kaygılı. CISA, devlet kurumlarındaki Exchange sunucularının vakit kaybedilmeden güncellenmesi veya İnternet bağlantılarının kesilmesine dair bir talimat yayınladı.
Saldırılar, 2021 Ocak’ında yayınladığımız Chopper ASPX web kabuğu araştırmasıyla da bağlantılı olabilir. Trend Micro Research’ün, saldırıların birbiriyle nasıl ilişkili olduklarına ve gelecekte başka saldırılar olup olmayacağına dair analizleri devam ediyor.
Saldırıdan etkilendim mi?
Microsoft’un yaptığı ilk değerlendirmede, Hafnium’un bulaşıcı hastalık araştırmaları, hukuk, yüksek öğrenim, savunma, siyasetle ilgili düşünce kuruluşları ve STK’lar gibi sektörlerdeki kuruluşları hedef aldığı iddia edildi. Ancak, geniş kapsamlı en son saldırı dalgasında başka saldırganların da furyaya katılmış olabileceğine dair görüşler öne sürülüyor. CISA’nın eski şefi Chris Krebs, kaynağı ne olursa olsun bu saldırıların, genellikle güvenliğe az kaynak ayırabilen KOBİ’leri, eğitim sektöründeki kurumları ve eyaletlerle yerel yönetimleri daha şiddetli etkilenmiş olabileceğini düşünüyor.
Kurumunuzdaki Exchange Server sistemlerinin saldırıdan etkilenip etkilenmediğini aşağıdaki talimatları takip ederek kontrol edebilirsiniz:
Sunuculara sızılıp sızılmadığını kontrol etmek için Microsoft detection tool yazılımı aracılığıyla Exchange Server sistemlerinin kayıt günlüklerini tarayın.
Bu saldırıyla ilgili sızmayı somut olarak işaret eden göstergeleri (IoC) tespit etmek için Trend Micro Vision One aracılığıyla tarama yapın.
Bu adımlardan sonra ne yapmalıyım?
Taramanız sistemin güvenliğinin ihlal edilmediğini gösterdiyse ancak yamaları henüz yüklememişseniz, Microsoft’un sitesine giderek yamaları yükleyin.
Microsoft’un aracını kullanarak yaptığınız taramada sisteminizin güvenliğinin ihlal edilmiş olabileceğine dair kanıtlara rastlanmışsa bu güvenlik ihlalini bildirmeniz gerekmektedir.
Ancak izleyeceğiniz prosedürler kurum içi kaynaklara ve içinde bulunduğunuz şartlara göre değişir. KOBİ’ler ve büyük şirketler için tavsiyelerimiz aşağıdadır:
Kurum içinde bir güvenlik ekibiniz yoksa, güvenlikle ilgili destek aldığınız hizmet sağlayıcısına veya Yönetimli hizmet Sağlayıcınıza başvurun.
Kurum içinde güvenlik açıklarına müdahale edebilecek bir ekibiniz varsa atmanız gereken adımlara bu ekip karar verecek.
Sızmayı somut olarak işaret eden göstergelerin sisteminizde olduğundan emin olmak için kapsamlı bir tarama yapılana kadar sistemlerinizi başka cihazlara kopyalamayın.
Güvenlik ihlaliyle ilgili bildirim gereklilikleriyle hakkında bilgi almak için hukuk biriminizle görüşün.
Trend Micro’nun bu saldırıya özel tespitleri ve ek güvenlik önlemleri hakkında daha fazla bilgi edinmek için Knowledge Base bölümünde yayınladığımız ve yeni bilgiler aldıkça güncellediğimiz yazıyı inceleyebilirsiniz: https://success.trendmicro.com/solution/000285882.
Trend Micro araştırmacıları kısa bir süre önce MuddyWater kaynaklı olduğundan şüphelenilen bir etkinlik tespit etti. Bu girişim, Orta Doğu’daki ve komşu bölgelerdeki çeşitli kuruluşları hedef alıyor.
Trend Micro araştırmacıları kısa bir süre önce Orta Doğu’daki ve komşu bölgelerdeki çeşitli kuruluşları hedef alan bir etkinlik tespit etti. Anomali şirketinin gerçekleştirdiği ve benzer kurbanları hedef alan farklı bir girişimi de ortaya çıkaran bir araştırma sonucunda bu etkinlikten haberdar olduk. Kesin olmamakla beraber, tespit edilen bu yeni etkinliğin MuddyWater (TEMP.Zagros, Static Kitten, Seedworm olarak da bilinmektedir) saldırısı ile bağlantılı olduğunu düşünüyoruz.
Ayrıca, Anomali şirketinin tespit ettiği etkinlik ve 2021 yılında da devam eden girişim arasında bir ilişki bulduk. Bu girişim aşağıdaki yasal uzaktan yönetim araçlarını kullanmaktadır:
Yetkisiz erişim elde etmeyi amaçlayan bu saldırılara Earth Vetala adını verdik. Earth Vetala saldırısında, kötü amaçlı paketleri göndermek için yasal dosya paylaşım hizmetlerine gömülü bağlantılar içeren hedefli kimlik avı e-postaları kullanıldı. Bu linkler e-postaların yanı sıra tuzak niteliğindeki belgelere de gömülmüştü.
Bir kurbana erişim sağlandığında, saldırganlar erişilen kullanıcı hesabının bir yöneticiye mi yoksa normal bir kullanıcıya mı ait olduğu belirleyebiliyordu. Sonrasında ise parola/işlem dökümü yardımcı araçlarının, ters tünel oluşturma araçlarının ve özel arka kapıların dahil olduğu saldırı sonrası araçları indiriyorlardı. Bu aşamalardan sonra tehdit aktörleri, karmaşık PowerShell komut dosyalarını yürütmek için ek komut ve kontrol (C&C) altyapılarını kullanarak iletişimi başlatıyordu.
Genel Bakış
Yapılan analizler, Earth Vetala girişiminin devam etmekte olduğunu ve bu tehdit faktörünün İran’ın hedeflerine uygun görünen çıkarlar içerdiğini gösteriyor.
Earth Vetala saldırısı başladığı günden beri Orta Doğu’daki ülkeleri hedef almaktadır. Bu girişimde Earth Vetala saldırısının tehdit aktörleri, hedefli kimlik avı e-postalarını ve tuzak niteliğindeki belgeleri kullanarak Birleşik Arap Emirlikleri, Suudi Arabistan, İsrail ve Azerbaycan’daki kuruluşları hedef almıştır. Bu kimlik avı e-postaları ve tuzak niteliğindeki belgeler, ScreenConnect uzak yönetici aracını içeren arşivleri dağıtmak için yasal dosya paylaşım hizmetlerine bağlanan gömülü URL’ler içerir. ScreenConnect, sistem yöneticilerine kurumsal sistemlerini uzaktan yönetme olanağı tanıyan yasal bir uygulamadır.
Yaptığımız araştırmada Anomali şirketinin tespit ettiği aynı girişimle bağlantılı tehdit aktörleri bulduk. Analizler, Earth Vetala saldırısının bu yazının yayınlandığı tarih itibariyle hala devam etmekte olduğunu gösteriyor. Bu girişimde tehdit aktörleri, parolaları ele geçirmek ve açık kaynaklı araçları kullanarak C&C iletişimlerine tünel oluşturmak için saldırı sonrası araçlarını; hedeflenen ana bilgisayarlar ve ortamlarda kalıcı bir varlık oluşturmak için ise ek C&C altyapısını kullanmaktadır.
Teknik Analiz
Araştırmamız sırasında, bir devlet kurumundan gönderildiği iddia edilen hedefli bir kimlik avı e-postası tespit ettik.
Şekil 1. Gömülü URL içeren kimlik avı e-postası
Bu e-posta, alıcıları URL’ye tıklamaları ve kötü amaçlı bir dosyayı indirmeleri için ikna etmeye çalışır. Biri .PDF dosyası ve diğeri .RTF dosyası olmak üzere iki dosyadan birinin indirilebileceğini gördük.
Tıpkı hedefli kimlik avı e-postasında olduğu gibi, tuzak niteliğindeki belgelerin içeriği de kurbanı başka bir kötü amaçlı URL’ye tıklaması ve bir .ZIP dosyasını indirmesi için ikna etmeye çalışır.
Bu .ZIP dosyası, RemoteUtilities tarafından geliştirilen yasal bir uzaktan yönetim yazılımının kopyasını içerir ve aşağıdakilerin de dahil olduğu uzaktan yönetim yeteneklerini sağlar:
Dosyaları indirme ve yükleme
Ekran görüntüleri alma
Dosyalara ve dizinlere göz atma
İşlemleri yürütme ve sonlandırma
Araştırmamızda, RemoteUtilities uzaktan yönetim yazılımını yukarıdaki yöntemle dağıtmak için kullanılan birden fazla .ZIP dosyasıyla karşılaştık. Bu dosyaların tümü aynı RemoteUtilities örneğini dağıtıyordu. Bu aracın kullanılması, ScreenConnect’in kullanıldığı daha önceki saldırılar gibi bu girişimi de diğer araştırmalardan ayırır. Aksi takdirde kullanımda olan TTP verileri genel olarak benzer kalacaktır.
RemoteUtilities Analizi
RemoteUtilities yazılımı yürütüldüğünde aşağıdaki komutla msiexec.exe uygulaması başlatılır:
Şekil 4. RemoteUtilities Kurulumu
MSI yükleyicisi, hedef makineye Uzak Yardımcı Programlar – Ana Bilgisayar adlı bir hizmet yükler:
Şekil 5. Uzak Yardımcı Programlar Hizmeti
Sonrasında, yüklenen hizmet RemoteUtilities’e ait olan id.remoteutilities.com etki alanıyla iletişim kurar. Bu bağlantı, etki alanındaki İnternet Kimliği Bağlantısı adı verilen bir özellikle ilgilidir. Bu özellik, bir ara İnternet sunucusunun tıpkı proxy sunucuları gibi bağlantıya aracılık etmesine olanak tanır. Böylece tehdit aktörü, sonrasında asıl RemoteUtilities ana bilgisayarına bağlanacak olan Internet-ID sunucusu ile bağlantı kurar.
Şekil 6. kod sunucusu bağlantısı
Saldırı Sonrası Analizi
Araştırmamızda, Suudi Arabistan’da bulunan ve ScreenConnect uzaktan yönetim yazılımını kullanan güvenliği ihlal edilmiş bir ana bilgisayar tespit ettik. Kurbanlar yürütülebilir bir ScreenConnect dosyası (SHA256 karması: 2f429efdb1801892ec8a2bcdd00a44d6ee31df04721482a1927fc6df554cdcf) içeren kötü amaçlı bir .ZIP dosyası (SHA256 karması: b2f429efdb1801892ec8a2bcdd00a44d6ee31df04721482a1927fc6df554cdcf) ile hedeflenmişti
Yukarıda da belirttiğimiz gibi, bu ScreenConnect yürütülebilir dosyası, instance-sy9at2-relay.screenconnect.com adresinde bulunan ve 51.68.244.39’a çözümlenen internet kimliği sunucusuna bağlanır.
Söz konusu etki alanına bir önceki araştırmamızda da değinmiştik. Daha sonrasında ise bu tehdit aktörlerinin ScreenConnect yazılımını kullanarak güvenliği ihlal edilmiş ana bilgisayarla aşağıdaki komutları çalıştırarak etkileşimde kurduğunu gözlemledik.
cmd.exe net kullanıcı/etki alanı
Yukarıdaki komut, saldırganın etki alanı denetleyicisindeki tüm kullanıcılara erişmesini sağlar.
Yürütülen bir sonraki komut ise şudur:
powershell.exe -exec bypass -w 1 -file a.ps1
Bu, bazı türdeki PowerShell komut dosyalarını yürütmek için kullanılan bir komuttur. Fakat bu a.ps1 dosyasına erişimimiz yoktu. Bu yüzden burada hangi işlevin sağlandığı konusunda net bir bilgimiz yok.
Bu komut 187.236.212[.]184’e bağlanır ve SharpChisel.exe (SHA256: 61f83466b512eb12fc82441259a5205f076254546a7726a2e3e983011898e4e2) adlı bir dosyayı indirerek bunu C:\programdata dizinine kaydeder. SharpChisel ismi, bu dosyanın amacıyla ilişkili olabilir. Dosyanın hedefi, “chisel” olarak adlandırılan bir tünel oluşturma aracına yönelik C# sarmalayıcısıdır. Yukarıdaki IP adresi, İran’daki bir sunucuya konumlandırılmıştır.
Bir sonraki aşamada aşağıdaki komut SharpChisel’i yapılandırır:
Söz konusu tehdit aktörünün SharpChisel’i düzgün çalışacak şekilde yapılandıramadığını düşünüyoruz. Aşağıdaki komutun kullanılması, bize bu varsayımımızı destekleyecek ek bir gerekçe sunuyor:
Bu komut C&C sunucusuna bağlanır, procdump64.exe dosyasını indirir ve bunu C:\programdata dizinine kaydeder. Bu da SharpChisel’in düzgün bir şekilde yapılandırılamadığına ilişkin varsayımımızı desteklemektedir. Saldırgan procdump64.exe yardımcı programını indirmek ve çalıştırmak için bu dosya yerine PowerShell’i kullanır.
İki farklı araç kullanılarak denenmesine rağmen C&C sunucusuna yönelik bir tünel bağlantısının kurulamadığı sonucuna vardık.
C&C sunucularına yönelik tünel bağlantısını yapılandırma girişimin başarısız olmasının ardından, tehdit aktörleri bir uzaktan erişim aracı (RAT) indirerek bunu yapılandırmayı denedi. Bunun için aşağıdaki PowerShell komutu kullanıldı:
Bu komut, out1.exe dosyasını indirir ve C:\users\public\ dizinine kaydeder. Bir UPX paket açıcı kullanarak yürütülebilir bir Python dosyasını içeren dosya içeriğini ayıklamayı başardık. Ardından, Python bytecode dosyalarının tümünü almak için pyinstxtractor.py kullanarak yürütülebilir python dosyasının derlemesini açtık. Bunlar sonraki aşamada orijinal phyton kodunu elde etmek için easypythondecompiler kullanılarak kaynak koda dönüştürülür.
out1.exe RAT aşağıdaki yeteneklere sahiptir:
Veri kodlaması
E-posta ayrıştırma
Dosya ve kayıt defteri kopyalama
HTTP/S bağlantısı desteği
Yerel komut satırı
İşlem yapma ve dosya yürütme
Bu aşamanın ardından C:\users\public\Browser64.exe dosyası çalıştırılır. Browser64, aşağıdaki uygulamalardan kimlik bilgilerini alan bir araçtır:
Chrome
Chromium
Firefox
Opera
Internet Explorer
Outlook
Şekil 8. Browser64.exe Kullanım Örneği
Browser64.exe kullanıldıktan sonra aşağıdaki komutun çalıştırıldığını gözlemledik:
Bu komut dosyası yeni bir HTTP nesnesi oluşturur ve sonrasında sistemin yerel proxy ayarlarını devre dışı bırakmaya çalışır. Bu işlemin ardından komut dosyası C&C URL’sinde bir HTTP GET isteği uygular, sunucunun yanıtını alır ve 10 saniye boyunca uyku moduna geçer.
Analizimiz esnasında bu sunucu hala kullanılabiliyordu. Sunucudan gelen yanıt, bellekte çalıştırılan kodlanmış bir PowerShell komut dosyasını içerir. Bu komut dosyasının kaynak koda dönüştürülmesi sonucunda bir arka kapı içerdiği ortaya çıkmıştır:
Şekil 10. gizliliği kaldırılmış PowerShell arka kapısı
Yukarıdaki ekran görüntüsü, bellek içerisindeki PowerShell arka kapısının kısaltılmış bir görüntüsünü göstermektedir. PowerShell arka kapısı aşağıdaki yeteneklere sahiptir.
Skype bağlantısını kontrol etme
Skype’ı indirme ve yükleme
C2 bağdaştırıcısı ile kodlanmış iletişim
C2 sunucusundan gönderilen komutları yürütme
Çok faktörlü kimlik doğrulama ayarlarını alma
Mevcut oturum açmış kullanıcı ve işletim sistemi sürümü bilgilerini alma
Earth Vetala Saldırısının Ayak İzi
Earth Vetala saldırısı, birden çok ülkeyi hedef alan kapsamlı bir girişim gerçekleştirmiştir. Bu saldırının aşağıdaki ülkelerde gerçekleştirildiğini gözlemledik:
Azerbaycan
Bahreyn
İsrail
Suudi Arabistan
Birleşik Arap Emirlikleri
Şekil 11. Etkilenen ülkeler
Earth Vetala saldırısının aşağıdaki sektörleri hedeflediğini gözlemledik:
Devlet Kurumları
Akademi
Turizm
Trend Micro Çözümleri
Earth Vetala saldırısı ilginç bir tehdit niteliğindedir. Bu saldırı uzaktan erişim yeteneklerine sahip olsa da saldırganların bu araçların tamamını kullanabilecek uzmanlıkta olmadığı görülmektedir. Saldırının MuddyWater tehdit aktörleriyle bağlantılı olduğunu düşünüyoruz. Saldırganların diğer bağlantılı girişimlerde gösterdiği yüksek teknik beceriler göz önünde bulundurulduğunda, bu oldukça beklenmedik bir durum.
Bu alanda elde ettiğimiz bulgulara Özel İstihbarat Araştırma (DIR) analistlerimiz sayesinde ulaştık. Analistlerimiz, kuruluşların önemli kararlar almasına ve karşılaştıkları güvenlik sorunlarının temeli anlamasına yardımcı olmak için her zaman yardıma hazırdır. Özel İstihbarat Araştırma hizmetimiz hakkında daha fazla bilgi edinmek için lütfen bölgenizdeki Satış ekibimiz ile iletişime geçin.
Komut ve Komut Dosyası Yorumlayıcı: PowerShell – T1059.001 Komut ve Komut Dosyası Yorumlayıcı: Windows Command Shell – T1059.003 Komut ve Komut Dosyası Yorumlayıcı: Visual Basic – T1059.005 Kullanıcı Yürütmesi: Kötü Amaçlı Bağlantı – T1204.001 Kullanıcı Yürütmesi: Kötü Amaçlı Dosya – T1204.002
Kalıcı, Ayrıcalık Yükseltme
Önyüklemeyi veya Oturum Açmayı Otomatik Başlatma İşlemini Yürütme: Kayıt Defteri Çalıştırma Anahtarları / Başlangıç Klasörü – T1547.001
Keşif
Hesap Keşfi: Etki Alanı Hesabı – T1087.002
Kimlik Bilgilerine Erişim
Parola Depolarından Gelen Kimlik Bilgileri: Web Tarayıcılarından Gelen Kimlik Bilgileri – T1555.003
Komut ve Denetim
Veri Kodlama: Standart Kodlama – T1132.001
Savunma Sistemlerini Atlatma
Dosyaların veya Bilgilerin Gizliliğini Kaldırma/Kodunu Çözme – T1140
