2 puan yazan GN⁺ 2024-08-03 | 1 yorum | WhatsApp'ta paylaş
  • Şubat 2024’ten beri gözlemlenen siber suç faaliyeti, kötü amaçlı yazılım dağıtmak için TryCloudflare Tunnel’ı kötüye kullandı; Mayıs-Temmuz arasında etkinlik arttı ve son kampanyaların çoğu Xworm’a çıktı
  • Saldırılar, e-postalardaki URL’ler veya ekler üzerinden .URL dosyalarına yönlendiriyor; ardından WebDAV, LNK/VBS, BAT/CMD, Python kurulum paketi ve betikleri üzerinden RAT kurulumuna giden bir akış izliyor
  • Haziran-Temmuz döneminde Xworm ağırlıktaydı; ancak önceki kampanyalarda AsyncRAT, VenomRAT, GuLoader ve Remcos da kullanıldı, bazı Python betikleri ise birden fazla payload’u ayrı ayrı kurdu
  • Kampanyalar yüzlerce ila on binlerce ileti ölçeğinde gerçekleşti ve dünya genelinde onlarca ila binlerce kuruluşu etkiledi; fatura, belge talebi, teslimat ve vergi gibi iş odaklı yemler ile birden fazla dil kullanıldı
  • Geçici Cloudflare altyapısı ve Python paketleme, engelleme ve yayından kaldırmayı zorlaştırıyor; ancak nihai çalıştırmaya kadar bağlantıya tıklama, dosya çalıştırma ve arşiv açma gibi birden fazla kullanıcı etkileşimi gerekiyor

TryCloudflare Tunnel’ın kötüye kullanılma yöntemi

  • Bu faaliyet, Cloudflare Tunnels’ı kötü amaçlı yazılım iletim altyapısı olarak kullanan bir siber suç kümesi
  • Saldırganların kötüye kullandığı özellik, hesap oluşturmadan tek kullanımlık tüneller oluşturmayı sağlayan TryCloudflare
  • Tüneller, VPN veya SSH gibi yerel ağ dışındaki veri ve kaynaklara uzaktan erişim sağlayan bir yöntemle çalışır
  • TryCloudflare Tunnel her kullanıldığında trycloudflare[.]com altında rastgele bir alt alan adı oluşturulur
    • Örnek: ride-fatal-italic-information[.]trycloudflare[.]com
    • Bu alt alan adının trafiği Cloudflare üzerinden operatörün yerel sunucusuna proxy’lenir
  • TryCloudflare Tunnel’ın kötüye kullanımı 2023’te yaygınlaşmaya başladı ve siber suç tehdit aktörleri arasında artış eğiliminde

Saldırı zinciri ve payload’lar

  • Kampanyaların çoğunda, iletinin içindeki URL veya ek dosya internet kısayolu olan bir .URL dosyasına yönlendiriyor
  • .URL çalıştırıldığında harici bir dosya paylaşımına bağlanıp LNK veya VBS dosyası indiriyor
    • Harici dosya paylaşımı genellikle WebDAV kullanıyor
    • Bazı dosya hazırlama süreçleri, WebDAV paylaşımından LNK almak için search-ms protokol işleyicisini kullanıyor
  • Ardından LNK/VBS, BAT veya CMD dosyası çalıştırıyor; bu dosya da Python kurulum paketini ve çeşitli Python betiklerini indirerek kötü amaçlı yazılım kurulumuna götürüyor
  • Kullanıcının bunu meşru bir belge sanması için genellikle zararsız bir PDF de birlikte gösteriliyor
  • Haziran-Temmuz’da gözlemlenen kampanyaların neredeyse tamamı Xworm iletti
    • Önceki kampanyalarda AsyncRAT, VenomRAT, GuLoader ve Remcos da iletildi
    • Bazı kampanyalar birden fazla kötü amaçlı payload’a çıktı; her Python betiği farklı bir kötü amaçlı yazılım kurdu

Kampanya ölçeği ve yemler

  • Kampanya iletilerinin ölçeği yüzlerceden on binlere kadar değişti
  • Etki alanı dünya genelinde onlarca ila binlerce kuruluşu kapsadı
  • Yem dilleri olarak İngilizcenin yanı sıra Fransızca, İspanyolca ve Almanca gözlemlendi
  • Xworm, AsyncRAT ve VenomRAT kampanyaları genel olarak Remcos veya GuLoader iletim kampanyalarından daha büyük ölçekte yürütüldü
  • Yem konuları, iş bağlamında açılma olasılığı yüksek içeriklere odaklandı
    • Fatura
    • Belge talebi
    • Teslimat
    • Vergi

Taktik değişimleri ve tespit atlatma

  • Kampanyaların taktik, teknik ve prosedürleri genel olarak tutarlı olsa da saldırganlar, saldırı zincirinin bazı bölümlerini değiştirerek sofistikasyonu ve savunma atlatmayı artırmaya çalışıyor
  • İlk kampanyalardaki yardımcı betiklerde çok az obfuscation vardı ya da hiç yoktu
    • Betiklerde kodun işlevini ayrıntılı açıklayan yorumlar da bulunuyordu
  • Haziran 2024’ten itibaren koda obfuscation eklenmeye başladı
  • Bu faaliyet belirli bir takip edilen tehdit aktörüne atfedilmedi; ilgili kampanyaların TTP’leri temel alınarak tek bir faaliyet kümesi altında toplandı

28 Mayıs 2024 kampanyası

  • 28 Mayıs 2024 kampanyası AsyncRAT ve Xworm iletti
  • Vergi temalı iletide bir URL vardı ve bu URL sıkıştırılmış bir .URL dosyasına yönlendiriyordu
  • Hedefler hukuk ve finans kuruluşlarıydı; toplam ileti sayısı 50’nin altındaydı
  • .URL dosyası uzak bir .LNK dosyasına işaret ediyordu
  • Çalıştırıldığında bir CMD yardımcı betiği PowerShell’i çağırarak sıkıştırılmış Python paketini ve Python betiğini indirdi
  • Python paketi ve betikleri AsyncRAT ve Xworm kurulumuna götürdü

11 Temmuz 2024 kampanyası

  • 11 Temmuz 2024 kampanyası da AsyncRAT ve Xworm dağıtmak için Cloudflare tünelleri kullandı
  • Kampanya 1.500’den fazla ileti içeriyordu ve finans, üretim ve teknoloji dahil çeşitli sektörlerdeki kuruluşları hedef aldı
  • İletilerde, LNK dosyasına işaret eden bir search-ms sorgusu içeren HTML eki bulunuyordu
  • Çalıştırıldığında obfuscation uygulanmış bir BAT dosyasına gidiyor; bu dosya PowerShell’i çağırarak Python kurulum paketini ve betikleri indiriyordu
  • İndirilen bileşenler AsyncRAT ve Xworm’un çalıştırılmasına yol açtı

Savunma açısından önemli noktalar

  • Cloudflare tünelleri saldırganların geçici altyapı kullanarak operasyonları ölçeklemesine, örnekleri hızla oluşturup kapatmasına olanak tanır
  • Geçici Cloudflare örnekleri, statik engelleme listelerine dayanan geleneksel güvenlik önlemleri ve savunucular için koşulları daha zor hale getirir
  • Python betiği tabanlı iletim yöntemi özellikle dikkat gerektirir
    • Python kütüphaneleri ve çalıştırılabilir kurulum programı Python betikleriyle birlikte paketlendiğinde, Python’un önceden kurulu olmadığı host’larda bile kötü amaçlı yazılım indirip çalıştırılabilir
    • Kişisel işler için Python’a ihtiyaç duymayan kuruluşlar Python kullanımını kısıtlamalıdır
  • Yazılım paketlerini kötü amaçlı dosyalarla birlikte iletme yöntemi ilk kez görülmüyor
    • Yakın zamanda Java tabanlı kötü amaçlı yazılım kampanyalarında, indirici veya dropper çalıştırılmadan önce gerekli yazılımın kurulmasını sağlamak için ZIP içine JAR ve Java Runtime Environment’ın birlikte konduğu vakalar gözlemlendi
  • Nihai payload’un çalıştırılması için kurbanın kayda değer düzeyde etkileşimi gerekir
    • Kötü amaçlı bağlantıya tıklama
    • LNK veya VBS gibi birden fazla dosyaya çift tıklama
    • Sıkıştırılmış betiği çıkarma
    • Bu süreç, alıcıya şüpheli etkinliği tespit edip saldırı zincirini kesmek için birden fazla fırsat sunar
  • Payload hazırlama ve iletim için WebDAV ve Server Message Block (SMB) kullanan tehdit aktörlerinin sayısı artıyor
  • Kuruluşlar, harici dosya paylaşım hizmetlerine erişimi yalnızca bilinen izin listesindeki sunucularla sınırlandırmalıdır

Tespit kuralları ve ihlal göstergeleri

  • Emerging Threats ruleset bu kampanyada tanımlanan kötü amaçlı yazılım tespitlerini içeriyor
  • Örnek kurallar:
    • 2853193 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
    • 2852870 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes
    • 2852923 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes (Client)
    • 2855924 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
    • 2857507 | ETPRO ATTACK_RESPONSE Suspicious HTML Serving Abused URL Linking Method Observed
  • İhlal göstergesi örnekleri:
    • spectrum-exactly-knitting-rural[.]trycloudflare[.]com: TryCloudflare Host, ilk kez Mayıs 2024’te gözlemlendi
    • 157[.]20[.]182[.]172: Xworm C2 IP, ilk kez Mayıs 2024’te gözlemlendi
    • dcxwq1[.]duckdns[.]org: AsyncRAT C2, ilk kez Mayıs 2024’te gözlemlendi
    • ride-fatal-italic-information[.]trycloudflare[.]com: TryCloudflare Host, ilk kez Temmuz 2024’te gözlemlendi
    • todfg[.]duckdns[.]org: AsyncRAT C2, ilk kez Temmuz 2024’te gözlemlendi
    • welxwrm[.]duckdns[.]org: Xworm C2, ilk kez Temmuz 2024’te gözlemlendi
    • xwor3july[.]duckdns[.]org: Xworm C2, ilk kez Temmuz 2024’te gözlemlendi

1 yorum

 
GN⁺ 2024-08-03
Hacker News yorumları
  • Kötü amaçlı yazılımların şüpheli .ru alan adlarından ya da kurşun geçirmez barındırma şirketlerinin açık IP’lerinden dağıtıldığı dönem çoktan geride kaldı
    Saldırganlar artık GCP, AWS, Azure, Cloudflare gibi herkesin kullandığı altyapıları kullanıyor ve cihazlara, büyükannenizin Netflix izlemek için kullandığıyla aynı VPN üzerinden erişiyor
    İnternet giderek IP adresleri ve alan adlarının güvenlik göstergesi olarak işe yaramadığı bir modele kayıyor; Cloudflare veya AWS aralıklarını engelleyemiyorsunuz, büyük ticari VPN kullanıcılarını da sitenizden dışlamak zor
    Üstelik trafik ve ad çözümleme de tamamen şifreli olduğundan, ağ operatörleri kullanıcıların internette ne yaptığını göremiyor
    Bu, mahremiyet ve anonimliğin artması, ağ güvenlik çözümlerinin etkisinin azalmasıyla ağın yeniden sadeleşmesi ve katılaşmanın önlenmesi, ayrıca verimsiz bir köstebek vurma endüstrisi yerine temel güvenlik sorunlarına odaklanılması açısından iyi bir değişim

    • “Cloudflare veya AWS IP aralıklarına yapılan ziyaretleri engelleyemezsiniz” denmiş ama Reddit bunu oldukça net biçimde yapıyor gibi görünüyor
      Kısa süre önce Reddit videolarını yt-dlp ile indiren bir tumblelog arka uç yazılımını düzeltmek zorunda kaldım, çünkü Reddit Hetzner özel sunucu IP aralıklarını engellemişti
      Sonunda videoyu istemci tarafında JavaScript ile indirip benim sunucuma yükletecek şekilde dolaştım
    • Büyük ticari VPN sağlayıcılarının IP aralıklarını öğrenebiliyorsanız ziyaretçileri engelleyebilirsiniz
      Bazı web siteleri bunu zaten yapıyor, ben de değerlendirme aşamasındayım
      Ayrıca TOR çıkış düğümü IP listelerini alıp TOR’u engellemek de yapılabilir; TOR engeli sayesinde kötü niyetli aktörlerden kaynaklanan baş ağrısını epey azalttım
    • Kötü amaçlı yazılımların artık şüpheli hosting veya alan adı kayıt şirketleri yerine ana akım altyapılardan dağıtılıyor olması, kolluk kuvvetlerinin çevrimiçi suçu fiilen ele alamamasının ya da ele almak istememesinin sonucu gibi görünüyor
      Özellikle telif hakkı gibi büyük şirketleri özel olarak rahatsız eden alanlar dışında böyledir; ana akım sağlayıcıları kullanarak da cezasız kalabiliyorsanız neden kurşun geçirmez hosting veya şüpheli kayıt şirketleri kullanasınız ki
    • Temel sorunlar çözülene kadar düzenleyicilerin beklemek yerine daha saldırgan kimlik doğrulama yöntemlerine yönelmesinden endişe duyuyorum
      En kötü senaryo, tüm internetin Facebook gibi olması; yani sadece bir şeye bakmak için bile gerçek kimliğinizden ayrılamayan bir hesaba ihtiyaç duyulması
    • Yani özetle bulut barındırmada da KYC devreye girecek deniyor
  • Link kısaltıcılar gibi şeyler üzerinden kötü amaçlı yazılım “dağıtımı” başlıkları artık biraz bayatladı
    İnsanların internete dosya yüklemenin birden fazla yolu olması şaşırtıcı değil

    • Bu bir link kısaltıcı değil, bir tünel; kullanıcı Cloudflare’a bağlandığını görüyor ama arka tarafta kötü niyetli bir hedefe yönleniyor
      Nihai hedef hem kullanıcıdan hem de şirketin güvenlik yığınından tamamen gizleniyor
      Cloudflare kendini bir güvenlik ürünü olarak pazarlıyorsa, kendi hizmeti üzerinde kötü amaçlı yazılımları izlemesini beklemek de makul sayılır
    • Bu noktada, özellikle ileri düzey olmayan kullanıcılar için mesele işletim sistemi etkileşim tasarımı olarak görülmeli
      Tüm suçu yalnızca Cloudflare’a yüklemek daha büyük resmi kaçırmak olur
      Eskiden Windows’ta otomatik çalıştırmayı kapatmanız gerekirdi ki yanlışlıkla kötü amaçlı bir sürücüden etkilenmeyin, ama kimse CD-RW ya da flash bellek üreticilerini suçlamıyordu
    • Keşke Cloudflare kötüye kullanım bildirimlerine biraz daha ciddiyetle yanıt verse
      Açıkça phishing ve kötü amaçlı yazılım barındırma örneklerini bildirdiğimde gerçekten aksiyon aldıklarını hiç görmedim gibi
    • Tarayıcı tasarımının, sadece bir bağlantıya tıklamakla kullanıcıyı kötü amaçlı yazılım tehdidine maruz bırakacak şekilde taşlaşmış olması bana saçma geliyor
      Aslında iyi tavsiye “tanımlayamadığın şeyi yeme” idi, ama bir şekilde “tanımlayamadığın şeyi görme”ye dönüştü
      Üstelik bu tavsiyeye uyamazsan aptalmışsın gibi davranılıyor; bu da kullanıcıların gerçek tehdidin nasıl göründüğünü hiç öğrenememesine yol açıyor
      Daha iyi yaklaşım, tüm bağlantıların güvenle tıklanabilmesi ve yalnızca çalıştırma gibi riskli eylemlerden kaçınmanın yeterli olmasıdır
      Böylece bulunan içerikleri tehditkâr ya da güvenilir olarak işaretleyip iş arkadaşlarınıza da yardımcı olabilirsiniz
  • Bu aracın kötüye kullanımı hakkında neredeyse tam bir yıl önce yazmıştım[0]
    Burada yeni görünen tek şey, tünel üzerinden ne yapıldığı ve bu yöntemin genel saldırı tekniği içindeki payının artacak kadar başarılı olması
    Bence asıl sorun TryCloudflare
    Hiç hesap gerektirmediği için iz sürülebilir atıf neredeyse imkânsız hale geliyor
    0: https://www.guidepointsecurity.com/blog/tunnel-vision-cloudf...

  • Ücretsiz, anında açılan tünel ürünlerinin sonu hep böyle olmuyor mu zaten
    ngrok da başta sürtünmesiz tünellemesiyle güzeldi ama aynı tür kötüye kullanım yüzünden sonunda her şeyi kayıt akışının arkasına almak zorunda kaldı

    • Saldırganlar bunu kötüye kullanmasaydı hayal kırıklığına uğrardım
      Kullanıcıya bağlanan bir hesap verebilirlik olmadan ücretsiz uçtan uca şifreleme sunarsanız, kötüye kullanımı davet etmiş olursunuz
  • Cloudflare Tunnels olmasaydı, bu kez de URL’ye payload gömülü bir web sayfasını Google Translate ile açtırmak gibi bir yöntem olurdu
    Buna haber değeri atfetmek zor

  • İnternette güzel şeylerin tadını çıkaramıyor oluşumuzun sebebi bu olsa gerek; burada Cloudflare’ın güzel özelliklerinden söz ediyorum
    Cloudflare üzerinden ücretsiz e-posta gönderebildiğinizi biliyor muydunuz? (https://blog.cloudflare.com/sending-email-from-workers-with-...)
    Artık yapamıyorsunuz
    Kapanış mutlaka Cloudflare’ın suçu değildi ama bu da iyi bir hizmetin kötüye kullanılıp ortadan kalkmasına benzer bir örnek

  • Çok eskiden Cloudflare’da, özel hata sayfalarında kullanılacak CSS ve HTML’i “önizleme” etme özelliği vardı
    Temelde bu önizleme işlevi, sorgu dizesindeki CSS ve HTML’i alıp cloudflarepreview.com/... üzerinde aynen gösteriyordu
    Bunu bildirirken, “Cloudflare beta önizlemeye erişmek için lütfen Cloudflare hesabınızla giriş yapın!” gibi bir sayfayı son derece kolayca oluşturup Cloudflare giriş bilgilerini çalmanın mümkün olduğunu göstermiştim
    Hata ödül programı bunu “cloudflarepreview playground’un doğası gereği kabul edilebilir” diyerek kapattı; sonra da URL’ye JWT token ekleyerek düzelttiler ama bir ödül vermediler
    Uzun süredir Cloudflare müşterisiyim ama ürünün içinde, kötüye kullanılana kadar pek ilgi görmeyen çok sayıda karanlık köşe var gibi duruyor; bu TryCloudflare’ın da onlardan biri olduğundan şüpheleniyorum

  • “Kimse moderasyon ve kötüye kullanım önlemeye yeterince para harcamak istemiyor” sorununa bakınca, erken PGP dönemindeki çevrimiçi kimlik için dağıtık güven ve güvensizlik ağları fikrine ne olduğunu merak ediyorum
    Bugün bunun ancak, takipçi sayısına, takipçilerinizin takipçilerine ve onların altındaki sonsuz botlara göre “güvenilir” sayılan sosyal medya hesapları ya da PageRank ve arama motoru optimizasyonu suistimalleri gibi biçimlerde hafif izleri kaldı

    • Bu tür önerileri anlayıp kullanabilen insanlar zaten Truva atı kuracak kadar saf değildir
    • Aşırı gerçekçi deepfake’ler çoğalmaya devam ettiğine göre, toplumun kaynağın gerçek olup olmadığını doğrulamanın bir yolunu yakında bulması gerekecek
  • Bu tür saldırıları, o meşhur uç nokta güvenlik programı, mesela ClownStrike, yakalayabilir miydi diye merak ediyorum
    Bence bu trafik ancak saldırganın bilinen bir uzaktan erişim truva atını yeniden kullanacak kadar acemi olması halinde görünür olur

    • CrowdStrike’ta rastgele bir exe çalıştırmayı engelleyecek şekilde ayar yapabilirsiniz
      Saldırganın zaten bilinen kötü amaçlı bir çalıştırılabilir dosya kullanıp kullanmaması önemli değil
  • Bu bana, AOL ücretsiz deneme hesabı disklerinin ortalıkta dolaştığı günleri hatırlattı
    Birçok toplulukta AOL alt alan adları anında engellenirdi

    • *.ipt.aol.com engeli de gerekliydi
      Çünkü bir AOL kullanıcısı HOST.ipt.aol.com ters DNS’ini kullanarak engelleri aşıyor ve herkese zarar veriyordu
      Prodigy / CompuServe / Blue Light kuşağı da burada