1 puan yazan GN⁺ 2023-10-02 | 1 yorum | WhatsApp'ta paylaş
  • İspanyol bir havacılık ve uzay şirketinin çalışanları, LinkedIn’de Meta işe alım uzmanı kılığına giren Lazarus tarafından hedef alındı; işe alım testi gibi görünen dosyaları şirket cihazlarında çalıştırmalarıyla ilk sızma gerçekleşti
  • Kötü amaçlı görevler Quiz1.exe ve Quiz2.exe olarak iletildi; “Hello, World!” ve Fibonacci dizisi çıktısından sonra ISO imajı içindeki ek payload’ların kurulumu tetiklendi
  • Sızmadan sonra DLL side-loading ile NickelLoader, miniBlindingCan ve yeni RAT LightlessCan dağıtıldı; ESET bunu yüksek güvenle Operation DreamJob bağlantılı Lazarus faaliyeti olarak nitelendirdi
  • LightlessCan, BlindingCan’in ardılı gibi görünüyor; ipconfig, net, ping, systeminfo, sc gibi Windows komut işlevlerini RAT içinde taklit ederek konsol çalıştırma izlerini azaltıyor
  • Saldırının amacı siber casusluktu; komutların gömülü olması ve yalnızca kurban cihazlarında şifre çözülecek şekilde tasarlanan yürütme korkulukları, gerçek zamanlı tespiti ve olay sonrası adli analizi daha da zorlaştırdı

LinkedIn işe alım tuzağıyla başlayan ilk sızma

  • Lazarus, İspanyol bir havacılık ve uzay şirketinin birden fazla çalışanıyla LinkedIn Messaging üzerinden temas kurdu
    • Saldırgan, Facebook, Instagram ve WhatsApp’ın ana şirketi Metanın işe alım uzmanı gibi davrandı
    • İşe alım sürecinin bir parçasıymış gibi C++ programlama becerisini kanıtlama talebi kullandı
  • Kurban, üçüncü taraf bir bulut depolamaya yüklenmiş Quiz1.iso ve Quiz2.iso dosyalarını indirdi ve içlerindeki çalıştırılabilir dosyaları şirket cihazında çalıştırdı
    • Quiz1.exe: “Hello, World!” çıktısı veren basit bir görev gibi gizlendi
    • Quiz2.exe: girilen değerden küçük en büyük elemana kadar Fibonacci dizisini yazdıran bir görev gibi gizlendi
    • İki çalıştırılabilir dosya, normal konsol uygulamaları gibi girdi ve çıktıyı işledikten sonra ek kötü amaçlı payload’ların kurulumunu başlattı
  • İlk payload, ESET’in NickelLoader adını verdiği bir HTTP(S) indiricisiydi
    • NickelLoader, saldırganın istediği programları kurban bilgisayarının belleğine dağıtabiliyor

Lazarus’a atıf gerekçeleri ve Operation DreamJob

  • ESET, İspanya’daki bu saldırıyı yüksek güvenle Lazarus’a, özellikle de Operation DreamJob ile ilişkili faaliyetlere bağladı
  • Kötü amaçlı yazılım, altyapı ve hedefler önceki Lazarus kampanyalarıyla örtüşüyor
    • LinkedIn temasından sonra işe alım testi gibi gizlenen kötü amaçlı dosyaların çalıştırılmasını sağlama yöntemi, Operation DreamJob’dan bu yana Lazarus’un kullandığı bir taktik
    • 2022’de Hollanda’daki vakada görülen ara yükleyici ve BlindingCan ailesi arka kapısının yeni bir varyantı gözlemlendi
    • Araçlarda AES-128 ve 256 bit anahtarlı RC6 şifreleme kullanıldı; bu yöntem Amazon temalı kampanyada da kullanılmıştı
  • Saldırgan, 1. aşama C&C sunucusunu doğrudan kurmak yerine güvenliği zayıf veya bakımı ihmal edilmiş mevcut web sitelerini ele geçirerek kullandı
  • Havacılık ve uzay şirketlerinin bilgi birikimini çalma hedefi, Lazarus’un uzun vadeli hedefleriyle uyumlu
    • BM raporları, Kuzey Kore bağlantılı APT gruplarının hassas teknolojilere ve havacılık-uzay bilgisine erişmek için havacılık ve uzay şirketlerine saldırdığını ele alıyor

Sızma sonrası araç yapısı

  • NickelLoader çalıştırıldıktan sonra saldırgan, kurban sistemine iki tür RAT dağıttı
    • miniBlindingCan: Lazarus aracı olarak bilinen BlindingCan arka kapısının işlevleri azaltılmış bir varyantı
    • LightlessCan: Daha önce herkese açık şekilde belgelenmemiş yeni bir RAT
  • Yürütme zinciri, farklı karmaşıklıktaki birden fazla aşamadan oluşuyor; dropper’lar ve loader’lar nihai RAT çalıştırılmadan önce yerleştiriliyor
    • Dropper, gömülü payload içeriyor ve dosya sistemine yazmasa bile doğrudan bellekten yükleyip çalıştırabiliyor
    • Loader, gömülü şifreli dizi olmadan payload’ı dosya sisteminden yüklüyor
  • Başlıca dosyaların çoğu, meşru çalıştırılabilir dosyanın kötü amaçlı DLL yüklediği DLL side-loading yapısında
    • PresentationHost.exe + mscoree.dll: truva atına dönüştürülmüş NppyPluginDll tabanlı, NickelLoader’ı iletiyor
    • colorcpl.exe + colorui.dll: LibreSSL 2.6.5 tabanlı, miniBlindingCan’i iletiyor
    • fixmapi.exe + mapistub.dll: Notepad++ için Lua plugin 1.4.0.0 tabanlı, LightlessCan’i iletiyor
    • tabcal.exe + HID.dll: Notepad++ için MZC8051 3.2 tabanlı, LightlessCan’i iletiyor

LightlessCan’in başlıca özellikleri

  • LightlessCan, Lazarus’un HTTP(S) RAT’i BlindingCan’in ardılı gibi görünüyor; mevcut sürümün dahili sürüm numarası 1.0
  • En fazla 68 komutu destekleyecek şekilde yapılandırılmış; mevcut sürümde bunlardan 43’ünün işlevi uygulanmış durumda
    • Kalan komutlar yer tutucu biçiminde bulunuyor ancak gerçek işlevleri yok
    • Paylaşılan komutların sırası büyük ölçüde korunduğu için BlindingCan kaynak kodu tabanlı gibi görünüyor
  • En büyük değişiklik, birçok yerleşik Windows komutunun işlevlerini RAT içinde taklit etme yöntemi
    • Uygulanan komut örnekleri arasında ipconfig, net, netsh advfirewall, netstat, ping, reg, sc, tasklist, wmic process call create, nslookup, schtasks, systeminfo, arp, mkdir gibi komutlar var
    • Önceki Lazarus saldırılarında bu komutların, saldırgan sistemde tutunma noktası elde ettikten sonra konsolda defalarca çalıştırıldığı vakalar görülmüştü
    • Bu yaklaşım, orijinal konsol yardımcı programlarını dikkat çekecek şekilde çalıştırmadan işlemleri RAT içinde yaparak EDR gibi gerçek zamanlı izleme ve olay sonrası dijital adli analiz araçlarının tespitini zorlaştırıyor
  • ESET, LightlessCan geliştiricisinin Windows’un temel yardımcı programlarını taklit etmek için kapalı kaynak ikili dosyaları tersine mühendislik etmiş olma ihtimalini güçlü görüyor
    • Wine projesinde de çeşitli program uygulamaları var; ancak LightlessCan’in taklit ettiği bazı işlevler Wine uygulamalarından farklıydı veya Wine’da yoktu

NickelLoader sızma zinciri

  • NickelLoader, enfekte sistemde çalışan bir HTTP(S) indiricisi ve daha sonra Lazarus payload’larını iletmek için kullanılıyor
  • Kurban quiz çalıştırılabilir dosyasını elle çalıştırdığında PresentationHost.exe otomatik olarak çalışıyor ve aynı C:\ProgramShared\ yolundaki kötü amaçlı mscoree.dll side-load ediliyor
    • mscoree.dll, 2011’de devre dışı kalan General Python Plugins DLL for Notepad++ projesinin NppyPluginDll.dll dosyasının truva atına dönüştürülmüş hâli
    • Meşru mscoree.dll export’larını ve özgün NppyPluginDll.dll export’larını içeriyor; kötü amaçlı kod CorExitProcess export’unda bulunuyor
  • Gömülü şifreli dizinin şifresini çözmek için üç adet 16 karakterlik anahtar kelime gerekiyor
    • Üst süreç adı PresentationHost
    • İkili dosyaya hard-code edilmiş dahili parametre 9zCnQP6o78753qg8
    • Komut satırından iletilen harici parametre ‑embeddingObject
    • Üç anahtar kelime bayt düzeyinde XOR’lanarak AES-128 şifre çözme anahtarı oluşturuluyor
  • NickelLoader, 5 harfli 4 komutu tanıyor
    • abcde: olağan uzun sleep gecikmesi olmadan hemen sonraki komutu istiyor
    • avdrq: alınan arabellek içindeki DLL’i yüklüyor ve hard-code edilmiş info export’unu çalıştırıyor
    • gabnc: alınan arabellek içindeki DLL’i yüklüyor
    • dcrqv: kendisini sonlandırıyor
  • ESET, 5 harfli komut yapısından ABD’deki 5 sentlik madeni paranın takma adı olan “nickel”ı çağrıştırdığı için bu payload’a NickelLoader adını verdi

miniBlindingCan yürütme zinciri

  • NickelLoader’ın indirip çalıştırdığı payload’lardan biri miniBlindingCan
    • BlindingCan RAT’in basitleştirilmiş bir sürümü ve ilk olarak Eylül 2022’de Mandiant tarafından AIRDRY.V2 adıyla raporlandı
  • Yüklemede C:\ProgramData\Adobe\ konumunda çalışan meşru colorcpl.exe ve kötü amaçlı colorui.dll kullanılıyor
    • colorui.dll, 64 bit kötü amaçlı bir DLL ve VMProtect ile obfuscate edilmiş
    • Binlerce export içeriyor; LaunchColorCpl sonraki aşamanın çalıştırılmasını yönetiyor
  • Dropper, çalışmanın başında analizden kaçınma özellikleri kullanıyor
    • PEB yapısındaki BeingDebugged değerini kontrol ederek anti-debugging uyguluyor
    • Sandbox ortamı tespitinden kaçınmak için anti-sandbox teknikleri kullanıyor
    • Üst sürecin colorcpl.exe olup olmadığını açıkça kontrol ediyor; değilse hemen sonlanıyor
  • Nihai payload’ın şifresini çözmek için üst süreç adı, dropper dosya adı ve harici komut satırı parametresinin birleştirilmesiyle oluşan uzun dize XOR anahtarı olarak kullanılıyor
    • Örnek sonuç dize: COLORCPL.EXECOLORUI.DLL669498484488D3F22712CC5BACA6B7A7
  • miniBlindingCan, BlindingCan’e benzer komut işleme mantığına sahip ancak işlevleri büyük ölçüde azaltılmış
    • Sistem bilgisi gönderme, iletişim aralığını güncelleme, yapılandırma gönderme ve güncelleme, dosya indirme ve şifre çözme, iletilen shellcode’u çalıştırma gibi işlevleri destekliyor
    • Şifresi çözülen yapılandırma 9.392 bayt ve en fazla 260 wide character boyutunda 5 URL içeriyor

LightlessCan basit yürütme zinciri

  • LightlessCan’in basit zinciri, C:\ProgramData\Oracle\Java\ konumunda çalışan meşru fixmapi.exe ve kötü amaçlı mapistub.dll kullanıyor
  • mapistub.dll, Notepad++ için Lua plugin 1.4’ün truva atına dönüştürülmüş bir DLL’i
    • Meşru Windows mapi32.dll export’ları kopyalanmış
    • FixMAPI export’u sonraki aşamanın şifre çözme ve yükleme işlemlerinden sorumlu
    • Diğer export’lar, herkese açık MineSweeper örnek projesinin meşru kodlarıyla doldurulmuş
  • Bu dropper’da kalıcılık zamanlanmış görev üzerinden ayarlanmış
    • ESET, bu göreve ilişkin ayrıntıların sınırlı olduğunu, ancak üst sürecin %WINDOWS%\system32\svchost.exe -k netsvcs -p -s Schedule gibi göründüğünü belirtti
  • Gömülü verinin şifresini çözmek için üç anahtar kelime kullanılıyor
    • Üst süreç adı fixmapi.exe
    • Dahili parametre IP7pdINfE9uMz63n
    • Komut satırı harici parametresi AudioEndpointBuilder
    • Anahtar kelimeler bayt düzeyinde XOR’lanıyor ve sonuç 128 bit AES anahtarı oluyor

LightlessCan karmaşık yürütme zinciri ve yürütme korkulukları

  • Daha karmaşık LightlessCan zinciri; meşru uygulama, ilk dropper, tam dropper, ara dropper, yapılandırma dosyası, sistem bilgisi dosyası, ara loader ve nihai LightlessCan RAT’e uzanıyor
  • İlk dropper, C:\ProgramData\Adobe\ARM\ konumunda çalışan meşru tabcal.exe tarafından side-load edilen kötü amaçlı HID.dll
    • HID.dll, Notepad++ için 8051 C compiler plugin projesinin MZC8051.dll dosyasının truva atına dönüştürülmüş hâli
    • HidD_GetHidGuid export’u sonraki aşamanın drop edilmesinden sorumlu
  • İlk şifre çözme aşamasında üç anahtar kelime gerekiyor
    • Üst süreç adı tabcal.exe
    • Dahili parametre 9zCnQP6o78753qg8
    • %WINDOWS%\system32\thumbs.db dosyasının içeriği olan LocalServiceNetworkRestricted
    • Üç değer XOR’lanarak 128 bit AES anahtarı oluşturuluyor
  • Oluşturulan tam dropper, InternalName kaynağı olarak AppResolver.dll değerine sahip ve iki şifreli veri dizisi içeriyor
    • 126 baytlık küçük bir dizi ve 1.807.464 baytlık büyük bir dizi içeriyor
    • Küçük dizinin şifresi 256 bit anahtarlı RC6 ile çözülüyor ve C:\windows\system32\oci.dll ile C:\windows\system32\grpedit.dat yollarını üretiyor
    • Büyük dizinin şifre çözme sonucu LightlessCan, ara dropper ve %WINDOWS%\System32\wlansvc.cpl yoluna drop edilen 14.948 baytlık şifreli yapılandırma dosyasını içeriyor
  • Tam dropper, enfekte sistemi tanımlayan çeşitli özellikleri %WINDOWS%\System32\4F59FB87DF2F konumuna kaydediyor
    • Değerler çoğunlukla Computer\HKLM\HARDWARE\DESCRIPTION\System\BIOS kayıt defteri yolundan alınıyor
    • SystemBIOSDate, SystemBIOSVersion, SystemManufacturer, SystemProductName ve disk denetleyicisi altındaki Identifier değeri dahil
    • Bu değerlerin birleştirilmiş dizesi, dosya sistemindeki şifreli grpedit.dat dosyasının şifresini çözmek için gerekiyor
  • Bu yapı yürütme korkulukları olarak işliyor
    • Payload’ın yalnızca hedeflenen kurban bilgisayarında şifresinin çözülmesini sağlıyor ve güvenlik araştırmacılarının farklı cihazlarında şifre çözmeyi zorlaştırıyor

Tespit kaçınma ve analiz etkisi

  • LightlessCan, saldırı sonrası aşamalarda sık kullanılan Windows komut satırı programlarının çalıştırma izlerini büyük ölçüde azaltabiliyor
    • Komut işlevlerini dahili uygulamalarla değiştirerek özgün konsol yardımcı programlarını çalıştırmaktan kaçınıyor
    • Komut geçmişi log’larında ve gerçek zamanlı tespitte gözlemlenebilir izler azalıyor
  • Saldırı zincirinin genelinde birden fazla savunma atlatma tekniği birleştirilmiş
    • DLL side-loading
    • VMProtect obfuscation
    • Dinamik Windows API çözümleme
    • Gömülü payload’lar
    • Yansıtmalı DLL injection
    • Process injection
    • Debugger ve sandbox’tan kaçınma
    • Dosya sisteminde şifreli araçlar ve yapılandırmalar
  • C&C iletişimi de analiz ve tespiti zorlaştıracak şekilde tasarlanmış
    • LightlessCan ve miniBlindingCan, C&C ile iletişim için HTTP/HTTPS kullanıyor
    • C&C trafiği AES-128 ile şifreleniyor
    • Trafik kodlamasında base64 kullanılıyor
    • LightlessCan ayrıca veri sızdırma işlevine sahip ve verileri C&C sunucusuna çıkarabiliyor

IoC ve MITRE ATT&CK özeti

  • Başlıca ilk dosya IoC’leri
    • C273B244EA7DFF20B1D6B1C7FD97F343201984B3: %TEMP%\7zOC35416EE\Quiz1.exe, “Hello World” meydan okuması gibi gizlenen ilk dropper
    • 38736CA46D7FC9B9E5C74D192EEC26F951E45752: %TEMP%\7zOCB3CC96D\Quiz2.exe, Fibonacci dizisi meydan okuması gibi gizlenen ilk dropper
    • C136DD71F45EAEF3206BF5C03412195227D15F38: C:\ProgramShared\mscoree.dll, NickelLoader dropper’ı
    • E61672B23DBD03FE3B97EE469FA0895ED1F9185D: NickelLoader HTTPS indiricisi
  • Başlıca LightlessCan ilişkili dosya IoC’leri
    • 0F33ECE7C32074520FBEA46314D7D5AB9265EC52: %ALLUSERSPROFILE%\Oracle\Java\mapistub.dll, LightlessCan dropper’ı
    • C7C6027ABDCED3093288AB75FAB907C598E0237D: mapistub.dll tarafından drop edilen LightlessCan
    • E18B9743EC203AB49D3B57FED6DF5A99061F80E0: %ALLUSERSPROFILE%\Adobe\ARM\HID.dll, karmaşık zincirin ilk dropper’ı
    • 3007DDA05CA8C7DE85CD169F3773D43B1A009318: %WINDIR%\system32\grpedit.dat, karmaşık zincirde drop edilen LightlessCan
    • 247C5F59CFFBAF099203F5BA3680F82A95C51E6E: %WINDIR%\system32\oci.dll, ara dropper
  • C&C, ele geçirilmiş meşru siteleri kullanıyor
    • bug.restoroad[.]com
    • hurricanepub[.]com
    • turnscor[.]com
    • mantis.quick.net[.]pl
    • www.radiographers[.]org
    • kapata-arkeologi.kemdikbud.go[.]id
    • barsaji.com[.]mx
    • www.keewoom.co[.]kr
    • kerstpakketten.horesca-meppel[.]nl
    • kittimasszazs[.]hu
    • nrfm[.]lk
  • MITRE ATT&CK açısından sosyal medya keşfi, spearphishing bağlantısı ve hizmetleri, kötü amaçlı dosyanın kullanıcı tarafından çalıştırılması, zamanlanmış görevler, DLL side-loading, yürütme korkulukları, komut geçmişi log’lamasının zayıflatılması, web protokolü C&C, simetrik şifreli kanal ve C2 kanalı üzerinden veri sızdırma gibi tekniklerle eşleştiriliyor

1 yorum

 
GN⁺ 2023-10-02
Hacker News yorumları
  • Evden yapılan bir LeetCode ödeviyle sızmaları akıllıca olmuş
    Apple yazılımı geliştiriyorum; Xcode projeleri oldukça derinlere girebiliyor. Apple, indirilen bir projeyi açarken uyarı gösteriyor ama bunu ev ödevi sanınca insan çoğunlukla görmezden geliyor
    Çevrimiçi ödevlerin de sıkıntılı erişim izinleri isteme ihtimali var ve bu hedeflerin şirketin kritik varlıklarına epey yüksek erişimi olma olasılığı da büyük. Elbette kimse iş aramak için şirket kaynaklarını kullanmaz, ama bunun oldukça sık yaşandığını söylerseniz buradaki herkes hassas tepki verir

    • Bizim şirket de adaylara ev ödevi veriyor; mülakatta kodu birlikte inceleyip iletişim ve teknik yetkinliği görmek için küçük değişiklikler istiyoruz
      Bir aday kendi projesinin REPL’ini bile açamadı; uğraşıp durduktan sonra “keşke şirket bilgisayarını kullansaydım” diye mırıldandı. Kişisel bilgisayarında en temel çalıştırma bile olmuyorsa, ödevi şirket bilgisayarında yaptığı anlamına geliyordu
    • İlk IT işimde, bölgedeki büyük bir ilaç şirketinin işe alım adresine gönderilen e-postanın geri dönüş mesajını görmüştüm
      1996’da kişisel e-posta adreslerinin bugünkü kadar yaygın olmadığını hesaba katmak gerek, ama yine de acemi bir hataydı. Uzun zamandır şirket bilgisayarında kişisel iş yapılmaz ilkesine uyuyorum, ancak bu yaygın bir tutum değildi
    • Ahlaken muğlak kısmı bir kenara bıraksak bile, işten çıkarma anlaşmasının parçası olarak yeni iş aramak için bütün bir iş günü aldığım olmuştu; yönetim de bunu geniş ölçüde desteklemişti
    • Apple yakın zamanda sandbox’lanmış shell script’leri ekledi; bu, build’leri daha kapalı hâle getirme çabasının bir parçası gibi görünüyor
      Mükemmel bir çözüm olmayabilir, ama tüm build adımlarının sandbox içinde çalıştığı bir modda projeyi açabilmek iyi olurdu. Başarısız olursa ne yapmaya çalıştığına bakarsınız
    • Ev ödevlerini değerlendirirken ilk yaptığım şey Xcode proje dosyasını vim ile açıp şüpheli bir şey var mı bakmak
      Açıkçası çoğu iş arkadaşımın aynı düzeyde durum tespiti yaptığını sanmıyorum
  • İnsanların mevcut şirket ekipmanıyla ev ödevi, headhunter e-postaları ve başka şirketlerle mülakat telefonları yaptığını her gördüğümde şaşırıyorum
    Bunu yaptığını söyleyen çok kişi var ama anlamıyorum. Olası sonuçları çok fazla. Fazla hevesli bir yönetici, sırf öğrendiği için kişisel bağlantılarını kullanarak gelecekteki işverenimi beni işe almamaya ikna etmişti
    Etik dışı ya da yasa dışı olsa bile bunlar gerçekten oluyor; büyük teknoloji şirketlerinde de aynı. İş arama faaliyetinin ayrıntılarını işverenle gönüllü olarak paylaştığını düşününce tuhaf geliyor. İş ve özel hayat din-devlet ayrılığı gibi ayrılmalı değil mi diye düşünüyorum

    • İş arkadaşlarım arasında hiç kişisel bilgisayarı olmayan ve şirket dizüstüsünü her şey için kullanan çok kişi olması beni epey rahatsız ediyor
      Yazılım geliştiriciler ve dizüstü bilgisayar alabilecek durumdalar. Benim karıştırarak kullandığım en uç nokta, küçük, hafif ve Bluetooth’lu şirket dizüstüsüyle bulaşık yıkarken zararsız YouTube videoları izlemek. Eskiden ara sıra ofiste çıktı almak için de kullanırdım
    • Her gün kullandığın cihazı yeni işler için de kullanmaya devam etmek neredeyse hiç sürtünme yaratmadığından, hiç şaşırtıcı değil
      Riskin büyük olduğuna ve yapılmaması gerektiğine tamamen katılıyorum; ama insanlar derin düşünmez ya da sürekli tetikte olmazsa gayet yaşanabilir
    • En azından kendini korumak için gerekirse telefon veya tablet ile mülakata girilebilir
      Neden gereksiz risk eklenir anlamıyorum. Belki de o gerilimi seviyorlardır
  • Kurbanın işlevi C++ ile yeniden oluşturması gerektiği bahanesiyle .exe dosyası mı göndermişler? Birinden .exe dosyası aldığınız anda bunun bir saldırı olduğu ya da en azından gönderen kişinin inanılması güç derecede teknik açıdan yetersiz olduğu güçlü bir işaret olmalı
    Gerçi Windows 95 dönemini yaşamış biri olduğum için böyle düşünüyor da olabilirim. Bazı derslerin her nesilde yeniden öğrenilmesi gerekiyor gibi

    • Çekici bir iş teklifi varsa, insan dolu bir şirkette yalnızca bir kez başarılı olmak yeter
      Garip bir test istenip de “o zaman yapmam” diyen kaç kişi olduğunu bilemeyiz. Günümüzde uygulamaları sandbox’ta çalıştırmak epey kolayken bunu yapmamak aptallık. Sandboxie ücretsiz ve her zaman çalışacağı garanti değil, ama başarılı olabilirdi; en azından tuhaf davranışları görünür kılma olasılığı yüksekti. Windows Pro’da da bir süredir yürütülebilir dosyaları sandbox’ta çalıştıran sağ tık menü seçeneği vardı
      Başlığı görünce ilk başta IDE üzerinden bulaşma sandım. “Bu projenin yazarına güveniyor musunuz?” gibi soruların olmasının bir nedeni var; VS Code’da ise Git ayarları hilesiyle istemden önce kod çalıştırmak bile mümkün
      Program çalıştırırken dikkatli olurum, ama bir işe alımcı kodlama ödevini Git deposundaki tamamlanmamış proje biçiminde gönderirse “kod çalıştırmaya izin ver” düğmesine basma olasılığım yüksek. Özellikle uzaktan mülakatta kodu canlı izleyip “probleme yaklaşımını göreceğim” derlerse daha da olası. Bu saldırı şu an çok temel, ama ilk bulaşmayı zamanında tespit etmeyi zorlaştırmak hiç de zor değil
    • Başta bunun olduğundan daha akıllıca bir saldırı olduğunu düşünmüştüm
      İndirilen ya da ekli yürütülebilir dosyayı çalıştırmaya ikna etmek basit ama hâlâ etkili görünüyor. Daha kötü niyetli ve etkili yöntem, “ödev” projesinin bulunduğu bir GitHub deposuna yönlendirip, kurban kendi çözümünü test ederken saldırganın istediğini yapan ele geçirilmiş bir pakete referans vermesini sağlamak olurdu
    • Ne yapmaya çalıştıklarını anlayınca, keşke beni kandırmaya çalışsalardı diye bile düşündüm
      Sıradan bir script kiddie olmadıklarını biliyorum, ama karşı saldırı denesem nasıl tepki verirlerdi merak ediyorum. Bana .exe verip çalıştırmamı söylerlerse çalıştırmam; hex editöründe açıp incelerim. “hello world” ya da Fibonacci üreteci olduğu iddia edilen bir dosya beklenenden çok daha büyükse ya da şifrelenmiş gibi görünen veri veya obfuscation girişimleri içeriyorsa çalıştırmam
    • Bir zamanlar kara kutu ödevinin parçası olarak binary dağıtmayı önermiştim
      Kaynağı kilitleyip ayrıntıları adaydan adaya değiştirebilirseniz, internete konmuş çözümler işe yaramaz
    • Muhtemelen .exe değil, .msi kurulum dosyası ya da zip dosyasıydı
  • Devlet programları için danışmanlık yaparken özgeçmişimi bilinçli olarak internete koymadım.
    Bir casusun işine yarayacak erişim yetkilerim yoktu ama bazı anahtar kelimelere bakınca öyle görünebilirdi. LinkedIn’de anahtar kelime aramasına takılan herkese spam gönderen işe alımcılar gibi.
    Her türlü güvenlik olayını bildirmem gerektiğini biliyordum; temkinli bir bürokrasi olayı ele alırken sözleşmemin ve gelirimim kesilebileceğini düşünüyordum. Bu yüzden çevrim içi özgeçmişimi kaldırdım ve rastgele bir hırsızın yanlışlıkla iş dizüstü bilgisayarımı çalmasını önlemeye yönelik tedbirler de aldım.
    Artık o işi bıraktığım için herkes gibi LinkedIn’de Junior Python Leetcode Hazing Engineer tarzı işe alım spamlerinin keyfini çıkarıyorum.

    • Neden eksi oy aldığımı anlamıyorum.
      Bazı pozisyonlarda veya sektörlerde istihdam durumunu kamuya açık etmemek, hedefli saldırıları önlemek için sıradan bir güvenlik önlemi olabilir. Gerçek dünyadan düşünürsek, CIA ajanları yabancı ülkelerde üzerinde CIA damgası olan kartvizitler dağıtmaz.
    • Bu biraz aşırı tepki gibi.
      Ben de benzer şekilde bazı kişilerin nerede çalıştığımı bilmemesini tercih ederim ama mevcut işyerinden bahsetmeyen eski bir özgeçmişi çevrim içi bırakmanın sorun olmayacağını düşünüyorum. İK sorumlusundan da adımın herkese açık “ekibimiz” sayfasına asla konmamasını istemiştim.
      Yan etkisi olarak, hedefli saldırılara yanıt yöntemlerini ve phishing e-postası örneklerini gösteren zorunlu kurumsal güvenlik eğitimlerinde her seferinde gülüyorum. Şimdiye kadar sızma testi firmasının denemeleri dışında tek bir hedefli phishing bile almadım.
  • Hangi aptal şirket ekipmanıyla kişisel iş yapar ki, diye düşünüyorum.
    Yoksul insanlardan değil, kendi kişisel ekipmanını alacak kadar parası olanlardan bahsediyorum.

    • Şirket dizüstü bilgisayarıyla her zaman kişisel işler yapıyorum.
      Kişisel bilgisayarım, video oyunları da çalıştırabilen bir tür ısıtıcı; bu yüzden varsayılan olarak onu kullanmıyorum. Üçüncü bir cihaz alacak durumum var ama o parayla daha iyi şeyler yapabilirim.
      Elbette şirketin güvenlik kurallarına uymaya çalışıyorum. Şirkete güveniyorum. Tarayıcı çerezlerimi emanet edemeyeceğim bir şirkette çalışmak istemem. Yaşadığım yargı bölgesinde yasalar da benden yana. Şirket hoşlanmadığı bir şeyi şirket dizüstü bilgisayarında yaptım diye beni işten çıkaramaz; çok geçerli bir gerekçesi olması gerekir.
    • Ev arkadaşım, kişisel dizüstü bilgisayara para harcamak istemediği için iş dizüstü bilgisayarını 2 yıl boyunca kişisel dizüstü bilgisayarı gibi kullandı.
      Üniversite stajyeriyken ve çok daha yoksulken ben de aynı şeyi yapmıştım.
    • Şirket donanımıyla kişisel işler yapıyorum ama gerçekten özel şeyler yapmıyorum.
      Oturum açmıyorum; iş dizüstü bilgisayarıyla film izlemek gayet keyifli.
    • İnternette tanımadığı birinin gönderdiği Quiz1.exe dosyasını çalıştıran aptal da tam odur muhtemelen.
    • Mecburiyetten de olabilir.
      Bu olayda kurban bir havacılık-uzay şirketinde çalışıyordu. O sektörden bazı insanları tanıyorum; hepsi akıl almaz derecede uzun saatler çalışıyor. Üstelik İspanyol bir şirket olduğu için günde 10 saatten fazla çalışmak normal kabul ediliyor olabilir.
  • Biraz farklı bir konu ama Kuzey Koreliler devlet çalışanı olana kadar internete neredeyse hiç erişemiyorsa Lazarus/HIDDEN COBRA’nın nasıl bu kadar sofistike bir devlet destekli saldırgan olabildiğini merak ediyorum.
    Modern güvenlik araştırmalarına, açık kaynak projelere, programlama materyallerine ve gerçekten yayılan kötü amaçlı yazılımlara erişim olmadan üstün bir hacker kuşağı yetiştirmek zor olmaz mı? Belki de güvenlik duvarını aşanları yakalayıp onlara birimlerde iş teklif ediyorlardır.

    • Bunları elde edemediklerini nereden biliyorsun, diye düşünüyorum.
      Ayrıca hacker’ları nasıl eğittiklerini düşündüğünü de merak ediyorum. React nightly build ile yapılacaklar uygulaması yapmayı öğretmekle olacak iş değil. Muhtemelen Ethernet ve TCP/IP stack’ini yapan insanlardan daha iyi ezberlemişlerdir ve tersinden de okuyabilirler; bu bile pek çok şeyi hacklemek için yeter.
    • Hollanda siber güvenlik kurumunun bir sunumunda duymuş gibiyim: Hacker’ları ülkede eğittikten sonra Çin’e gönderiyorlar ve elbette sıkı gözetim altında internet kafelerde çalıştırıyorlarmış.
    • Teknik yeteneği olan 7 yaşındaki çocuklara tüm erişim yetkilerini verip hacker olarak yetiştiren bir üstün yetenekliler eğitim programı olabilir.
    • Okullarda en iyi yetenekleri erkenden seçip çok yoğun eğitim verdikleri söyleniyor.
      Gıda, elektrik vb. pek çok şeyin kıt olduğu bir ülkede bu çok imrenilen bir meslek. Daha fazlasını öğrenmek isterseniz Lazarus Heist podcast’ini dinleyebilirsiniz.
    • Çin’den faaliyet gösterdiklerini düşünmek daha doğru olabilir.
  • Bölgemizdeki 300 personel tedarik firmasından yalnızca 23’ünün gerçekten hizmet olarak yasal şekilde faaliyet gösterme izni olduğundan şaşırtıcı değil.
    Hangisinin sahte, hangisinin gerçek olduğunu doğrulamaya çalışmak, çoğu şirketin ve adayın pek çekmek istemeyeceği bir ip.
    Sahte işe alım dolandırıcılığı da var. Çalışana cazip bir yan hak ve ücret paketi sunup onu şirketten koparıyorlar; ardından rakip firma verileri çıkarıyor ve deneme süresi bitmeden, genellikle 6–10 ay içinde kişiyi işten çıkarıyor. Çeşitli kötü niyetli aktörler abartılı vaatlerle birlikte enfekte PDF’ler de yayıyor.
    Dikkatli olmak gerek; 86Box, Bochs/kvm gibi salt okunur backing image ve oturumları destekliyor: https://github.com/86Box/86Box/releases
    Apple M1 dizüstü bilgisayarlarda da çalışıyor ama yavaş.

  • Bu tür kötü şeyler gerçekten oluyor.
    2019’da merkez ofisin sağladığı ücretsiz Wi‑Fi üzerinden dizüstü bilgisayarım hacklendi ve tüm SSH anahtarlarımı değiştirmek zorunda kaldım.

    • “Merkez ofisin ücretsiz Wi‑Fi’ı üzerinden hacklendi” tam olarak ne demek, merak ediyorum.
  • “İki kötü amaçlı çalıştırılabilir dosya… ilki Hello World projesi… ikincisi ise girdi değerinden küçük en büyük elemana kadar Fibonacci dizisini yazdırıyor” denmesi, bir şeylerin ters gittiğinin ilk işareti olmalıydı.
    Meta olsaydı LeetCode medium veya hard ile başlardı.

  • Bu web sitesinin güvenliği harika.
    Sayfa içeriğini kaydırırken ok tuşlarını kullanmayı engellemişler. Kesinlikle klavye üzerinden gelen bilinmeyen bir saldırı vektörü yüzünden. Müthiş.