Cloudflare Tunnel’ları kötüye kullanarak RAT dağıtan tehdit aktörü
(proofpoint.com)- Şubat 2024’ten beri gözlemlenen siber suç faaliyeti, kötü amaçlı yazılım dağıtmak için TryCloudflare Tunnel’ı kötüye kullandı; Mayıs-Temmuz arasında etkinlik arttı ve son kampanyaların çoğu Xworm’a çıktı
- Saldırılar, e-postalardaki URL’ler veya ekler üzerinden .URL dosyalarına yönlendiriyor; ardından WebDAV, LNK/VBS, BAT/CMD, Python kurulum paketi ve betikleri üzerinden RAT kurulumuna giden bir akış izliyor
- Haziran-Temmuz döneminde Xworm ağırlıktaydı; ancak önceki kampanyalarda AsyncRAT, VenomRAT, GuLoader ve Remcos da kullanıldı, bazı Python betikleri ise birden fazla payload’u ayrı ayrı kurdu
- Kampanyalar yüzlerce ila on binlerce ileti ölçeğinde gerçekleşti ve dünya genelinde onlarca ila binlerce kuruluşu etkiledi; fatura, belge talebi, teslimat ve vergi gibi iş odaklı yemler ile birden fazla dil kullanıldı
- Geçici Cloudflare altyapısı ve Python paketleme, engelleme ve yayından kaldırmayı zorlaştırıyor; ancak nihai çalıştırmaya kadar bağlantıya tıklama, dosya çalıştırma ve arşiv açma gibi birden fazla kullanıcı etkileşimi gerekiyor
TryCloudflare Tunnel’ın kötüye kullanılma yöntemi
- Bu faaliyet, Cloudflare Tunnels’ı kötü amaçlı yazılım iletim altyapısı olarak kullanan bir siber suç kümesi
- Saldırganların kötüye kullandığı özellik, hesap oluşturmadan tek kullanımlık tüneller oluşturmayı sağlayan TryCloudflare
- Tüneller, VPN veya SSH gibi yerel ağ dışındaki veri ve kaynaklara uzaktan erişim sağlayan bir yöntemle çalışır
- TryCloudflare Tunnel her kullanıldığında
trycloudflare[.]comaltında rastgele bir alt alan adı oluşturulur- Örnek:
ride-fatal-italic-information[.]trycloudflare[.]com - Bu alt alan adının trafiği Cloudflare üzerinden operatörün yerel sunucusuna proxy’lenir
- Örnek:
- TryCloudflare Tunnel’ın kötüye kullanımı 2023’te yaygınlaşmaya başladı ve siber suç tehdit aktörleri arasında artış eğiliminde
Saldırı zinciri ve payload’lar
- Kampanyaların çoğunda, iletinin içindeki URL veya ek dosya internet kısayolu olan bir .URL dosyasına yönlendiriyor
- .URL çalıştırıldığında harici bir dosya paylaşımına bağlanıp LNK veya VBS dosyası indiriyor
- Harici dosya paylaşımı genellikle WebDAV kullanıyor
- Bazı dosya hazırlama süreçleri, WebDAV paylaşımından LNK almak için search-ms protokol işleyicisini kullanıyor
- Ardından LNK/VBS, BAT veya CMD dosyası çalıştırıyor; bu dosya da Python kurulum paketini ve çeşitli Python betiklerini indirerek kötü amaçlı yazılım kurulumuna götürüyor
- Kullanıcının bunu meşru bir belge sanması için genellikle zararsız bir PDF de birlikte gösteriliyor
- Haziran-Temmuz’da gözlemlenen kampanyaların neredeyse tamamı Xworm iletti
- Önceki kampanyalarda AsyncRAT, VenomRAT, GuLoader ve Remcos da iletildi
- Bazı kampanyalar birden fazla kötü amaçlı payload’a çıktı; her Python betiği farklı bir kötü amaçlı yazılım kurdu
Kampanya ölçeği ve yemler
- Kampanya iletilerinin ölçeği yüzlerceden on binlere kadar değişti
- Etki alanı dünya genelinde onlarca ila binlerce kuruluşu kapsadı
- Yem dilleri olarak İngilizcenin yanı sıra Fransızca, İspanyolca ve Almanca gözlemlendi
- Xworm, AsyncRAT ve VenomRAT kampanyaları genel olarak Remcos veya GuLoader iletim kampanyalarından daha büyük ölçekte yürütüldü
- Yem konuları, iş bağlamında açılma olasılığı yüksek içeriklere odaklandı
- Fatura
- Belge talebi
- Teslimat
- Vergi
Taktik değişimleri ve tespit atlatma
- Kampanyaların taktik, teknik ve prosedürleri genel olarak tutarlı olsa da saldırganlar, saldırı zincirinin bazı bölümlerini değiştirerek sofistikasyonu ve savunma atlatmayı artırmaya çalışıyor
- İlk kampanyalardaki yardımcı betiklerde çok az obfuscation vardı ya da hiç yoktu
- Betiklerde kodun işlevini ayrıntılı açıklayan yorumlar da bulunuyordu
- Haziran 2024’ten itibaren koda obfuscation eklenmeye başladı
- Bu faaliyet belirli bir takip edilen tehdit aktörüne atfedilmedi; ilgili kampanyaların TTP’leri temel alınarak tek bir faaliyet kümesi altında toplandı
28 Mayıs 2024 kampanyası
- 28 Mayıs 2024 kampanyası AsyncRAT ve Xworm iletti
- Vergi temalı iletide bir URL vardı ve bu URL sıkıştırılmış bir .URL dosyasına yönlendiriyordu
- Hedefler hukuk ve finans kuruluşlarıydı; toplam ileti sayısı 50’nin altındaydı
- .URL dosyası uzak bir .LNK dosyasına işaret ediyordu
- Çalıştırıldığında bir CMD yardımcı betiği PowerShell’i çağırarak sıkıştırılmış Python paketini ve Python betiğini indirdi
- Python paketi ve betikleri AsyncRAT ve Xworm kurulumuna götürdü
11 Temmuz 2024 kampanyası
- 11 Temmuz 2024 kampanyası da AsyncRAT ve Xworm dağıtmak için Cloudflare tünelleri kullandı
- Kampanya 1.500’den fazla ileti içeriyordu ve finans, üretim ve teknoloji dahil çeşitli sektörlerdeki kuruluşları hedef aldı
- İletilerde, LNK dosyasına işaret eden bir search-ms sorgusu içeren HTML eki bulunuyordu
- Çalıştırıldığında obfuscation uygulanmış bir BAT dosyasına gidiyor; bu dosya PowerShell’i çağırarak Python kurulum paketini ve betikleri indiriyordu
- İndirilen bileşenler AsyncRAT ve Xworm’un çalıştırılmasına yol açtı
Savunma açısından önemli noktalar
- Cloudflare tünelleri saldırganların geçici altyapı kullanarak operasyonları ölçeklemesine, örnekleri hızla oluşturup kapatmasına olanak tanır
- Geçici Cloudflare örnekleri, statik engelleme listelerine dayanan geleneksel güvenlik önlemleri ve savunucular için koşulları daha zor hale getirir
- Python betiği tabanlı iletim yöntemi özellikle dikkat gerektirir
- Python kütüphaneleri ve çalıştırılabilir kurulum programı Python betikleriyle birlikte paketlendiğinde, Python’un önceden kurulu olmadığı host’larda bile kötü amaçlı yazılım indirip çalıştırılabilir
- Kişisel işler için Python’a ihtiyaç duymayan kuruluşlar Python kullanımını kısıtlamalıdır
- Yazılım paketlerini kötü amaçlı dosyalarla birlikte iletme yöntemi ilk kez görülmüyor
- Yakın zamanda Java tabanlı kötü amaçlı yazılım kampanyalarında, indirici veya dropper çalıştırılmadan önce gerekli yazılımın kurulmasını sağlamak için ZIP içine JAR ve Java Runtime Environment’ın birlikte konduğu vakalar gözlemlendi
- Nihai payload’un çalıştırılması için kurbanın kayda değer düzeyde etkileşimi gerekir
- Kötü amaçlı bağlantıya tıklama
- LNK veya VBS gibi birden fazla dosyaya çift tıklama
- Sıkıştırılmış betiği çıkarma
- Bu süreç, alıcıya şüpheli etkinliği tespit edip saldırı zincirini kesmek için birden fazla fırsat sunar
- Payload hazırlama ve iletim için WebDAV ve Server Message Block (SMB) kullanan tehdit aktörlerinin sayısı artıyor
- Kuruluşlar, harici dosya paylaşım hizmetlerine erişimi yalnızca bilinen izin listesindeki sunucularla sınırlandırmalıdır
Tespit kuralları ve ihlal göstergeleri
- Emerging Threats ruleset bu kampanyada tanımlanan kötü amaçlı yazılım tespitlerini içeriyor
- Örnek kurallar:
2853193 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound2852870 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes2852923 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes (Client)2855924 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound2857507 | ETPRO ATTACK_RESPONSE Suspicious HTML Serving Abused URL Linking Method Observed
- İhlal göstergesi örnekleri:
spectrum-exactly-knitting-rural[.]trycloudflare[.]com: TryCloudflare Host, ilk kez Mayıs 2024’te gözlemlendi157[.]20[.]182[.]172: Xworm C2 IP, ilk kez Mayıs 2024’te gözlemlendidcxwq1[.]duckdns[.]org: AsyncRAT C2, ilk kez Mayıs 2024’te gözlemlendiride-fatal-italic-information[.]trycloudflare[.]com: TryCloudflare Host, ilk kez Temmuz 2024’te gözlemlenditodfg[.]duckdns[.]org: AsyncRAT C2, ilk kez Temmuz 2024’te gözlemlendiwelxwrm[.]duckdns[.]org: Xworm C2, ilk kez Temmuz 2024’te gözlemlendixwor3july[.]duckdns[.]org: Xworm C2, ilk kez Temmuz 2024’te gözlemlendi
1 yorum
Hacker News yorumları
Kötü amaçlı yazılımların şüpheli
.rualan adlarından ya da kurşun geçirmez barındırma şirketlerinin açık IP’lerinden dağıtıldığı dönem çoktan geride kaldıSaldırganlar artık GCP, AWS, Azure, Cloudflare gibi herkesin kullandığı altyapıları kullanıyor ve cihazlara, büyükannenizin Netflix izlemek için kullandığıyla aynı VPN üzerinden erişiyor
İnternet giderek IP adresleri ve alan adlarının güvenlik göstergesi olarak işe yaramadığı bir modele kayıyor; Cloudflare veya AWS aralıklarını engelleyemiyorsunuz, büyük ticari VPN kullanıcılarını da sitenizden dışlamak zor
Üstelik trafik ve ad çözümleme de tamamen şifreli olduğundan, ağ operatörleri kullanıcıların internette ne yaptığını göremiyor
Bu, mahremiyet ve anonimliğin artması, ağ güvenlik çözümlerinin etkisinin azalmasıyla ağın yeniden sadeleşmesi ve katılaşmanın önlenmesi, ayrıca verimsiz bir köstebek vurma endüstrisi yerine temel güvenlik sorunlarına odaklanılması açısından iyi bir değişim
Kısa süre önce Reddit videolarını
yt-dlpile indiren bir tumblelog arka uç yazılımını düzeltmek zorunda kaldım, çünkü Reddit Hetzner özel sunucu IP aralıklarını engellemiştiSonunda videoyu istemci tarafında JavaScript ile indirip benim sunucuma yükletecek şekilde dolaştım
Bazı web siteleri bunu zaten yapıyor, ben de değerlendirme aşamasındayım
Ayrıca TOR çıkış düğümü IP listelerini alıp TOR’u engellemek de yapılabilir; TOR engeli sayesinde kötü niyetli aktörlerden kaynaklanan baş ağrısını epey azalttım
Özellikle telif hakkı gibi büyük şirketleri özel olarak rahatsız eden alanlar dışında böyledir; ana akım sağlayıcıları kullanarak da cezasız kalabiliyorsanız neden kurşun geçirmez hosting veya şüpheli kayıt şirketleri kullanasınız ki
En kötü senaryo, tüm internetin Facebook gibi olması; yani sadece bir şeye bakmak için bile gerçek kimliğinizden ayrılamayan bir hesaba ihtiyaç duyulması
Link kısaltıcılar gibi şeyler üzerinden kötü amaçlı yazılım “dağıtımı” başlıkları artık biraz bayatladı
İnsanların internete dosya yüklemenin birden fazla yolu olması şaşırtıcı değil
Nihai hedef hem kullanıcıdan hem de şirketin güvenlik yığınından tamamen gizleniyor
Cloudflare kendini bir güvenlik ürünü olarak pazarlıyorsa, kendi hizmeti üzerinde kötü amaçlı yazılımları izlemesini beklemek de makul sayılır
Tüm suçu yalnızca Cloudflare’a yüklemek daha büyük resmi kaçırmak olur
Eskiden Windows’ta otomatik çalıştırmayı kapatmanız gerekirdi ki yanlışlıkla kötü amaçlı bir sürücüden etkilenmeyin, ama kimse CD-RW ya da flash bellek üreticilerini suçlamıyordu
Açıkça phishing ve kötü amaçlı yazılım barındırma örneklerini bildirdiğimde gerçekten aksiyon aldıklarını hiç görmedim gibi
Aslında iyi tavsiye “tanımlayamadığın şeyi yeme” idi, ama bir şekilde “tanımlayamadığın şeyi görme”ye dönüştü
Üstelik bu tavsiyeye uyamazsan aptalmışsın gibi davranılıyor; bu da kullanıcıların gerçek tehdidin nasıl göründüğünü hiç öğrenememesine yol açıyor
Daha iyi yaklaşım, tüm bağlantıların güvenle tıklanabilmesi ve yalnızca çalıştırma gibi riskli eylemlerden kaçınmanın yeterli olmasıdır
Böylece bulunan içerikleri tehditkâr ya da güvenilir olarak işaretleyip iş arkadaşlarınıza da yardımcı olabilirsiniz
Bu aracın kötüye kullanımı hakkında neredeyse tam bir yıl önce yazmıştım[0]
Burada yeni görünen tek şey, tünel üzerinden ne yapıldığı ve bu yöntemin genel saldırı tekniği içindeki payının artacak kadar başarılı olması
Bence asıl sorun TryCloudflare
Hiç hesap gerektirmediği için iz sürülebilir atıf neredeyse imkânsız hale geliyor
0: https://www.guidepointsecurity.com/blog/tunnel-vision-cloudf...
Ücretsiz, anında açılan tünel ürünlerinin sonu hep böyle olmuyor mu zaten
ngrok da başta sürtünmesiz tünellemesiyle güzeldi ama aynı tür kötüye kullanım yüzünden sonunda her şeyi kayıt akışının arkasına almak zorunda kaldı
Kullanıcıya bağlanan bir hesap verebilirlik olmadan ücretsiz uçtan uca şifreleme sunarsanız, kötüye kullanımı davet etmiş olursunuz
Cloudflare Tunnels olmasaydı, bu kez de URL’ye payload gömülü bir web sayfasını Google Translate ile açtırmak gibi bir yöntem olurdu
Buna haber değeri atfetmek zor
İnternette güzel şeylerin tadını çıkaramıyor oluşumuzun sebebi bu olsa gerek; burada Cloudflare’ın güzel özelliklerinden söz ediyorum
Cloudflare üzerinden ücretsiz e-posta gönderebildiğinizi biliyor muydunuz? (https://blog.cloudflare.com/sending-email-from-workers-with-...)
Artık yapamıyorsunuz
Kapanış mutlaka Cloudflare’ın suçu değildi ama bu da iyi bir hizmetin kötüye kullanılıp ortadan kalkmasına benzer bir örnek
Çok eskiden Cloudflare’da, özel hata sayfalarında kullanılacak CSS ve HTML’i “önizleme” etme özelliği vardı
Temelde bu önizleme işlevi, sorgu dizesindeki CSS ve HTML’i alıp
cloudflarepreview.com/...üzerinde aynen gösteriyorduBunu bildirirken, “Cloudflare beta önizlemeye erişmek için lütfen Cloudflare hesabınızla giriş yapın!” gibi bir sayfayı son derece kolayca oluşturup Cloudflare giriş bilgilerini çalmanın mümkün olduğunu göstermiştim
Hata ödül programı bunu “cloudflarepreview playground’un doğası gereği kabul edilebilir” diyerek kapattı; sonra da URL’ye JWT token ekleyerek düzelttiler ama bir ödül vermediler
Uzun süredir Cloudflare müşterisiyim ama ürünün içinde, kötüye kullanılana kadar pek ilgi görmeyen çok sayıda karanlık köşe var gibi duruyor; bu TryCloudflare’ın da onlardan biri olduğundan şüpheleniyorum
“Kimse moderasyon ve kötüye kullanım önlemeye yeterince para harcamak istemiyor” sorununa bakınca, erken PGP dönemindeki çevrimiçi kimlik için dağıtık güven ve güvensizlik ağları fikrine ne olduğunu merak ediyorum
Bugün bunun ancak, takipçi sayısına, takipçilerinizin takipçilerine ve onların altındaki sonsuz botlara göre “güvenilir” sayılan sosyal medya hesapları ya da PageRank ve arama motoru optimizasyonu suistimalleri gibi biçimlerde hafif izleri kaldı
Bu tür saldırıları, o meşhur uç nokta güvenlik programı, mesela ClownStrike, yakalayabilir miydi diye merak ediyorum
Bence bu trafik ancak saldırganın bilinen bir uzaktan erişim truva atını yeniden kullanacak kadar acemi olması halinde görünür olur
exeçalıştırmayı engelleyecek şekilde ayar yapabilirsinizSaldırganın zaten bilinen kötü amaçlı bir çalıştırılabilir dosya kullanıp kullanmaması önemli değil
Bu bana, AOL ücretsiz deneme hesabı disklerinin ortalıkta dolaştığı günleri hatırlattı
Birçok toplulukta AOL alt alan adları anında engellenirdi
*.ipt.aol.comengeli de gerekliydiÇünkü bir AOL kullanıcısı
HOST.ipt.aol.comters DNS’ini kullanarak engelleri aşıyor ve herkese zarar veriyorduProdigy / CompuServe / Blue Light kuşağı da burada