Daha önce belgelenmemiş, tamamen saptanamayan bir PowerShell arka kapısı, en az 69 varlığı hedeflemiş bir tehdit aktörü tarafından aktif olarak kullanılıyor.
Özelliklerine dayanarak, kötü amaçlı yazılım siber casusluk için tasarlanmıştır ve esas olarak güvenliği ihlal edilmiş sistemden veri sızdırma ile uğraşır.
İlk tespit edildiğinde, PowerShell arka kapısı, VirusTotal tarama hizmetindeki hiçbir satıcı tarafından kötü niyetli olarak görülmedi.
Ancak, bilgisayar korsanları tarafından yapılan operasyonel hatalar nedeniyle kapağı havaya uçtu. SafeBreach analistleri Saldırganlar tarafından virüslü cihazlarda yürütülmek üzere gönderilen komutlara erişmek ve şifresini çözmek için.
İş başvurusundan PowerShell arka kapısına
Saldırı, “Apply Form.docm” adlı kötü amaçlı bir belgenin eklendiği bir kimlik avı e-postasının gelmesiyle başlar. Dosya içeriğine ve meta verilere dayanarak, muhtemelen LinkedIn tabanlı bir iş başvurusundan sonra temalıdır.
Belge, rutin bir Windows güncellemesinin kimliğine bürünmek için zamanlanmış bir görev oluşturan bir ‘updater.vbs’ komut dosyasını bırakan ve yürüten kötü amaçlı makrolar içerir.
VBS betiği daha sonra, her ikisi de kötü amaçlı belgenin içinde gizlenmiş biçimde depolanan “Script.ps1” ve “Temp.ps1” adlı iki PowerShell betiği yürütür.
SafeBreach komut dosyalarını ilk keşfettiğinde, VirusTotal’daki virüsten koruma sağlayıcılarından hiçbiri PowerShell komut dosyalarını kötü amaçlı olarak algılamadı.
“Script.ps1”, saldırganın komut ve kontrol sunucularına (C2) bağlanır, operatörlere bir kurban kimliği gönderir ve ardından AES-256 CBC şifreli biçimde alınan bir komutu bekler.
SafeBreach analistleri, kimlik sayısına dayanarak, tehdit aktörünün C2’sinin onlardan önce 69 kimlik kaydettiği sonucuna vardı; bu, muhtemelen ihlal edilen bilgisayarların yaklaşık sayısıdır.
“Temp.ps1” komut dosyası yanıttaki komutun kodunu çözer, yürütür ve ardından sonucu şifreler ve bir POST isteği aracılığıyla C2’ye yükler.
SafeBreach, tahmin edilebilir kurban kimliğinden yararlandı ve her birine gönderilen komutların şifresini çözebilecek bir komut dosyası oluşturdu.
Analistler, komutların üçte ikisinin veri sızdırmak olduğunu, diğerlerinin ise kullanıcı numaralandırmaları, dosya listelemeleri, dosya ve hesapların kaldırılması ve RDP istemci numaralandırmaları için kullanıldığını buldu.
.png)
Bilinmeyen gizli tehditler
Bu PowerShell arka kapısı, devlet, kurumsal ve özel kullanıcı sistemlerine yönelik saldırılarda kullanılan bilinmeyen gizli tehditlerin tipik bir örneğidir.
Savunucuların yalnızca bilinen veya ortaya çıkan tehditler hakkında bilgilendirilmesi değil, aynı zamanda güvenlik önlemlerini ve AV taramalarını atlayabilen bilinmeyen vektörleri de hesaba katması gerekir.
Bazı AV motorları, PowerShell komut dosyalarındaki kötü amaçlı davranışları buluşsal olarak algılayabilirken, tehdit aktörleri bu algılamaları atlamak için kodlarını sürekli olarak geliştirir.
Bunu başarmanın en iyi yolu, güvenlik güncellemelerini olabildiğince hızlı uygulamak, uç noktalara uzaktan erişimi sınırlamak, en az ayrıcalık ilkesini takip etmek ve ağ trafiğini düzenli olarak izlemektir.