Bir insanla bir maymunun tek bir kapıyla ayrılmış iki odada yaşadığı hikayeyi biliyor musunuz?
Hikayenin ilk kısmı, o odada bir süre sonra insanın meraklanmaya başladığını ve kapının arkasında ne olduğunu bulmaya karar verdiğini anlatıyor. İnsan anahtar deliğinden bakarken gördüğü şey, görünüşe göre maymunun olduğu başka bir gözdü.
Siber suçlular, basitçe insan merakını kullanarak kurbanlarını oltaya düşürürler. Özetle merakımız sosyal mühendisliği besler.
Kullanıcılar, son dönemde siber saldırganlar tarafından en fazla tercih edilen saldırı yöntemi olan Sosyal Mühendislik yöntemleriyle kendilerine gelen mesajları ayırt edemeyebiliyorlar. Bu noktada kendilerine sunulan içerikleri iyi ya da kötü olarak ayırt etme konusunda zorluk yaşıyorlar. Özellikle kamu ya da üretim gibi kritik altyapıları hedef alan saldırılar önemli zarara, kimlik hırsızlıklarına neden olabiliyor.
Kullanıcıların neden bu e-posta aldıklarını dikkate almaları ve gerçek olduklarından emin oluncaya kadar genel olarak herhangi bir bağlantıyı veya eki tıklayacaklarını bilmeleri gerekiyor. Bu nedenle bloğumda yayınladığım farkındalık yazılarıyla toplumun her kesimine yayılan “siber güvenlik bilinci” oluşturulması için çalışmalarımıza ve sizleri bilgilendirmeye devam ediyoruz.
2018 Ocak ile Mart ayları arasında Orta Doğu ve Orta Asya’daki işletmeleri hedef alan ve başta Türkiye, Pakistan ve Tacikistan olmak üzere birçok ülkenin kritik sanayi tesisini hedef alan yeni bir saldırı tespit edildi. Saldırıların arkasında İranlı bilgisayar korsanlarının görev aldığı Temp.Zagros adındaki grup olduğu düşünülüyor. TEMP.Zagros, ilk olarak 2017’de tespit edilmiş ve bilgisayar korsanları, çeşitli ülkelerde çeşitli sektörleri hedef alan oltalama saldırıları ile isimlerini duyurmuşlardı.
Yapılan gözlemler, saldırı tekniklerinin daha önce Orta Asya ve Orta Doğu coğrafyasını tehdit eden saldırılarda kullanılan MuddyWater ile benzerlik gösterdiğini ortaya koymuş durumdadır. Orta Doğu coğrafyasında geniş bir alanı etkileyen MuddyWater, özellikle hükümetlere bağlı kurumları hedef almıştı. Saldırganların tek seferlik saldırı modelini izlemektense büyük olasılıkla ülkelere ve kritik tesislere karşı siber casusluk aktivitelerini sürdürmeye devam etmeleri bekleniyor. Saldırganlar, kullanıcılar üzerinden sosyal mühendislik faaliyeti gerçekleştirip kullanıcıların söz konusu dosyayı tıklamasını sağlayarak klasörde yer alan zararlı yazılımı harekete geçiriyorlar. Araştırmalara göre zararlı yazılımlar, dokümanın içinde gömülü olarak yer alıyor. Zararlı yazılım, bir VBS dosyasını ve bir INI dosyasını bırakan makro tabanlı bir doküman kullanıyor. INI dosyası, WScript.exe kullanılarak yürütme sırasında VBS dosyası tarafından oluşturulan komut satırı kullanılarak yürütülecek Base64 kodlu PowerShell komutunu içeriyor. Saldırganlar bu şekilde hedef üzerinde istedikleri komutları çalıştırabiliyorlar.
Bu saldırılar, TEMP.Zagros grubunun en yeni kod yürütme ve kalıcılık mekanizma teknikleriyle güncel kaldığını ve kötü amaçlı yazılımlarını güncellemek için bu teknikleri hızla kullanabileceklerini göstermektedir. Birden fazla gizlenme ve kalıcılık tekniğini kullanarak tersine mühendislik süreçlerini engelleme ve aynı zamanda güvenlik ürünleri tarafından tespit edilememe yeteneği kazandıkları değerlendirilmektedir. Son kullanıcılar, siber saldırganlar tarafından en fazla tercih edilen saldırı yöntemi olan sosyal mühendislik yöntemleriyle kendilerine gelen mesajları ayırt edemeyebiliyorlar. Bu noktada kendilerine sunulan içerikleri iyi ya da kötü olarak ayırt etme konusunda zorluk yaşıyorlar. Özellikle kamu ya da üretim gibi kritik altyapıları hedef alan saldırılar önemli zarara, kimlik hırsızlıklarına neden olabiliyorlar. Kullanıcıların neden bu tür e-postalar aldıklarını dikkate almaları ve gerçek olduklarından emin oluncaya kadar genel olarak herhangi bir bağlantıyı veya eki tıklamamaları gerekiyor. Bu nedenle farkındalık eğitimleriyle toplumun her kesimine yayılan “siber güvenlik bilinci”nin oluşturulmasında fayda görülmektedir.
Son zamanlarda yine etkisini gösteren Muddywater zararlı yazılımı ile ilgili çok sayıda makaleyi inceledim. Bu aşamadan sonra aşağıda sadece hızlıca bir göz atmak ve kullanılan bazı kodlama tekniklerini sizlerle paylaşmak istedim. Bu zararlı yazılımı incelediğimizde her şey çok basit ve anlaşılır görünüyor. Çok temel kodlama teknikleri kullanılıyor. Basit bir belge parçasının nasıl bu kadar çok zarar verebileceği gerçekten bana çok şaşırtıcı geldi. Saldırganların bugünlerde kurumsal güvenliği atlamak için basit ve meşru yöntemler kullandığını düşünüyorum.
Başlangıçta kurbanlar makro etkin Microsoft belgeleri aldı. Bu word belgeleri çok meşru ve ilgi çekici olarak hazırlanmıştı. Örnek olarak bazılarını aşağıdaki gibi görebiliriz.

 
 

Zararlı yazılım; makro çalıştırıldıktan sonra, C2 sunucusuyla iletişim kurmak, verileri boşaltmak ve daha fazla veri hırsızlığı için araç indirmek için WSCRIPT, POWERSHELL gibi komut dosyası içeren bir komut dosyası çağırır.
Belge açıldığında ve makro çalıştırıldığında akış aşağıdaki gibidir.
 

Akışı detaylıca incelediğimizde payload’ın system.ps1 ve system.vbs adı verilen iki dosyaya düştüğünü görebiliyoruz. Ayrıca, dosyanın özniteliklerini değiştirmeye çalışıyor yani onları gizlemeye çalışıyor. Bir görevi de zamanlayarak kalıcılık için kullanılıyor.

İndirilen binary dosyalardan bazıları, PS2EXE aracı kullanılarak PE dosyalarına dönüştürülmüş powershell komut dosyalarıdır.

Şimdi aşağıdaki akışa tekrar bakalım.
 

ArabBrowserFont.exe -> WSCRIPT -> POWERSHELL -> C2Server

İlk GET isteğinde base64 metni bulunuyor, aşağıda bu kodu çözmeyi deneyelim.

İki defa Base64 kodlaması kullanılarak kodlanmıştır. Şimdi powershell betiğine gidelim. Powershell’de kullanılan ve hepsi çok basit olsa da birçok yöntem var. İşte kodlanmış olarak gösterilen farklı değişkenlerin ekran görüntüsü;

base64 kodlanmış basit bir başka örnek ekran görüntüsü;

Yukarıdaki senaryoda, base64 ascii ve ikili gösterime dönüştürülür. İkili değeri 1100110 ondalık değerine dönüştürün (ikili taban 2, ondalık ise 10 tabandır)

Tüm değerleri eklersek, ondalık değerde 102 olur. Aynı zamanda, ondalık 102 ascii’deki “f” karakterine, yani küçük harf “f” e eşittir. Powershell betiğine geri dönersek. Base64 kodunu zaten çözdük ve bazı ikili (temel 2) değerlerini fark ettik. İşte şekilde betiğin neye benzediği analiz edersek aşağıdaki gibi bir betik elde ediyoruz:

Şimdi bu yukarıdaki kodları çözmek için bir kod yazarsak aşağıda paylaştığım video’da gördüğünüz gibi kodları çözebiliyoruz.

Her zaman komut satırı araçları geliştirmemin nedeni, basitçe diğer araçlarla / komut dosyalarıyla bütünleşmesinin kolay olmasıdır. Bir kere deşifre ettikten sonra aşağıdaki gibi bazı ilginç kod parçacıkları görüyoruz.

Ayrıca dikkat çeken bir kod parçacığıda aşağıdaki  gibidir. Bu kod parçacığının anlamı eğer aşağıdaki programlardan birisi işlem yığında çalışıyorsa, makineyi anında kapatma komutudur.

Bu şekilde zararlı yazılımları kodlarken her olasılığı göz önünde bulundurularak kodlandığını görüyoruz ve zararlı yazılımın kendisini gizlemesi için bir çok yöntem kullanıldığını görüyoruz. Veri hırsızlığı tespit etmek gerçekten kolay değil ve Oltala saldırıları halen daha işe yarayan saldırılardan birisi olarak karşımıza çıktığını görüyoruz.