Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Bilgisayar korsanları, 60’tan fazla kurbanı hedeflemek için yeni gizli PowerShell arka kapısını kullanıyor


bilgisayar korsanı

Daha önce belgelenmemiş, tamamen saptanamayan bir PowerShell arka kapısı, en az 69 varlığı hedeflemiş bir tehdit aktörü tarafından aktif olarak kullanılıyor.

Özelliklerine dayanarak, kötü amaçlı yazılım siber casusluk için tasarlanmıştır ve esas olarak güvenliği ihlal edilmiş sistemden veri sızdırma ile uğraşır.

İlk tespit edildiğinde, PowerShell arka kapısı, VirusTotal tarama hizmetindeki hiçbir satıcı tarafından kötü niyetli olarak görülmedi.

Ancak, bilgisayar korsanları tarafından yapılan operasyonel hatalar nedeniyle kapağı havaya uçtu. SafeBreach analistleri Saldırganlar tarafından virüslü cihazlarda yürütülmek üzere gönderilen komutlara erişmek ve şifresini çözmek için.

İş başvurusundan PowerShell arka kapısına

Saldırı, “Apply Form.docm” adlı kötü amaçlı bir belgenin eklendiği bir kimlik avı e-postasının gelmesiyle başlar. Dosya içeriğine ve meta verilere dayanarak, muhtemelen LinkedIn tabanlı bir iş başvurusundan sonra temalıdır.

cazibe belgesi
Makroyu içeren belge cazibesi (Güvenli İhlal)

Belge, rutin bir Windows güncellemesinin kimliğine bürünmek için zamanlanmış bir görev oluşturan bir ‘updater.vbs’ komut dosyasını bırakan ve yürüten kötü amaçlı makrolar içerir.

VBS betiği daha sonra, her ikisi de kötü amaçlı belgenin içinde gizlenmiş biçimde depolanan “Script.ps1” ve “Temp.ps1” adlı iki PowerShell betiği yürütür.

SafeBreach komut dosyalarını ilk keşfettiğinde, VirusTotal’daki virüsten koruma sağlayıcılarından hiçbiri PowerShell komut dosyalarını kötü amaçlı olarak algılamadı.

VirusTotal, her iki komut dosyasında da temiz taramalar döndürüyor
VirusTotal, her iki komut dosyasında da temiz taramalar döndürüyor (Güvenli İhlal)

“Script.ps1”, saldırganın komut ve kontrol sunucularına (C2) bağlanır, operatörlere bir kurban kimliği gönderir ve ardından AES-256 CBC şifreli biçimde alınan bir komutu bekler.

SafeBreach analistleri, kimlik sayısına dayanarak, tehdit aktörünün C2’sinin onlardan önce 69 kimlik kaydettiği sonucuna vardı; bu, muhtemelen ihlal edilen bilgisayarların yaklaşık sayısıdır.

“Temp.ps1” komut dosyası yanıttaki komutun kodunu çözer, yürütür ve ardından sonucu şifreler ve bir POST isteği aracılığıyla C2’ye yükler.

SafeBreach, tahmin edilebilir kurban kimliğinden yararlandı ve her birine gönderilen komutların şifresini çözebilecek bir komut dosyası oluşturdu.

Analistler, komutların üçte ikisinin veri sızdırmak olduğunu, diğerlerinin ise kullanıcı numaralandırmaları, dosya listelemeleri, dosya ve hesapların kaldırılması ve RDP istemci numaralandırmaları için kullanıldığını buldu.

Yönetici kullanıcılar için sorgulamak üzere C2'den komut olarak gönderilen komut dosyası
Yönetici kullanıcılar için etki alanı denetleyicisini sorgulamak üzere C2’den komut olarak gönderilen komut dosyası (Güvenli İhlal)

Bilinmeyen gizli tehditler

Bu PowerShell arka kapısı, devlet, kurumsal ve özel kullanıcı sistemlerine yönelik saldırılarda kullanılan bilinmeyen gizli tehditlerin tipik bir örneğidir.

Savunucuların yalnızca bilinen veya ortaya çıkan tehditler hakkında bilgilendirilmesi değil, aynı zamanda güvenlik önlemlerini ve AV taramalarını atlayabilen bilinmeyen vektörleri de hesaba katması gerekir.

Bazı AV motorları, PowerShell komut dosyalarındaki kötü amaçlı davranışları buluşsal olarak algılayabilirken, tehdit aktörleri bu algılamaları atlamak için kodlarını sürekli olarak geliştirir.

Bunu başarmanın en iyi yolu, güvenlik güncellemelerini olabildiğince hızlı uygulamak, uç noktalara uzaktan erişimi sınırlamak, en az ayrıcalık ilkesini takip etmek ve ağ trafiğini düzenli olarak izlemektir.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.