Siber Muhbir

Kaspersky güvenlik araştırmacısı Mert Değirmenci, bu hafta yayınlanan bir analizde, "hrserv.dll" adlı bir dinamik bağlantı kitaplığı (DLL) olan web kabuğunun "istemci iletişimi ve bellek içi yürütme için özel kodlama yöntemleri gibi gelişmiş özellikler" sergilediğini söyledi.

Rus siber güvenlik firması, bu eserlerin derleme zaman damgalarına dayanarak kötü amaçlı yazılımın 2021'in başlarına kadar uzanan varyantlarını belirlediğini söyledi.

Web kabukları genellikle güvenliği ihlal edilmiş bir sunucu üzerinde uzaktan kontrol sağlayan kötü amaçlı araçlardır. Yüklendikten sonra, tehdit aktörlerinin veri hırsızlığı, sunucu izleme ve ağ içinde yanal ilerleme dahil olmak üzere bir dizi istismar sonrası etkinlik gerçekleştirmesine olanak tanır.

Saldırı zinciri, daha sonra bir Windows toplu komut dosyası ("JKNLA.bat") yürütmek üzere yapılandırılan bir Microsoft güncelleştirmesi ("MicrosoftsUpdate") gibi görünen zamanlanmış bir görev oluşturmak için başlatma çubuğu olarak kullanılan PsExec'e bir alternatif olan PAExec uzaktan yönetim aracını içerir.

Toplu komut dosyası, daha sonra takip eylemleri için gelen HTTP isteklerini ayrıştırabilen bir HTTP sunucusu başlatmak için bir hizmet olarak yürütülen bir DLL dosyasının ("hrserv.dll") mutlak yolunu bağımsız değişken olarak kabul eder.

Değirmenci, "Bir HTTP isteğindeki türe ve bilgilere bağlı olarak, belirli işlevler etkinleştirilir" dedi ve ekledi: "Google hizmetlerini taklit etmek için kullanılan hrserv.dll dosyasında kullanılan GET parametreleri 'hl' içerir."

Bu, büyük olasılıkla tehdit aktörünün bu hileli istekleri ağ trafiğinde harmanlama ve kötü amaçlı etkinlikleri iyi huylu olaylardan ayırt etmeyi çok daha zor hale getirme girişimidir.

Bu HTTP GET ve POST isteklerinin içine katıştırılmış, değeri 0 ile 7 arasında değişen cp adlı bir parametre bir sonraki eylem planını belirler. Bu, yeni iş parçacıkları oluşturmayı, kendilerine rastgele veriler yazılmış dosyalar oluşturmayı, dosyaları okumayı ve Outlook Web App HTML verilerine erişmeyi içerir.

POST isteğindeki cp değeri "6"ya eşitse, kodlanmış verileri ayrıştırarak ve belleğe kopyalayarak kod yürütmeyi tetikler, ardından yeni bir iş parçacığı oluşturulur ve işlem uyku durumuna girer.

Web kabuğu ayrıca, "MicrosoftsUpdate" işinin yanı sıra ilk DLL ve toplu iş dosyalarını silerek adli izi silmekten sorumlu olan bellekte gizli bir "çok işlevli implantın" yürütülmesini etkinleştirebilir.

Web kabuğunun arkasındaki tehdit aktörü şu anda bilinmiyor, ancak kaynak kodunda birkaç yazım hatasının varlığı, kötü amaçlı yazılım yazarının anadili İngilizce olmadığını gösteriyor.

"Özellikle, web kabuğu ve bellek implantı, belirli koşullar için farklı diziler kullanıyor "dedi. " "Ek olarak, bellek implantı titizlikle hazırlanmış bir yardım mesajına sahiptir."

"Bu faktörler göz önüne alındığında, kötü amaçlı yazılımın özellikleri, finansal olarak motive edilmiş kötü amaçlı faaliyetlerle daha tutarlıdır. Bununla birlikte, operasyonel metodolojisi APT davranışı ile benzerlikler göstermektedir."