Obsidian eklentileri uzaktan erişim truva atı dağıtmak için kötüye kullanıldı

 (cyber.netsecops.io)
1 puan yazan GN⁺ 4 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • REF6598 kampanyası, Obsidian paylaşımlı kasaları üzerinden PHANTOMPULSE RAT'ini dağıtıyor
  • Hedefler Windows ve macOS kullanan finans ve kripto para çalışanları; kurbanlar LinkedIn ve Telegram üzerinden kandırılıyor
  • Bulaşma, paylaşımlı kasada topluluk eklentisi senkronizasyonu elle etkinleştirildiğinde başlıyor
  • Kötü amaçlı Shell Commands ve Hider eklentileri betikleri çalıştırıyor, ardından PHANTOMPULL RAT'i yüklüyor
  • PHANTOMPULSE, C2 adresini Ethereum işlemleri üzerinden doğruladığı için engellenmesi zorlaşıyor

Saldırı akışı

  • İlk erişim ve çalıştırma

    • REF6598 kampanyası, daha önce belgelenmemiş uzaktan erişim truva atı (RAT) PHANTOMPULSE'u dağıtmak için Obsidian not uygulamasını kötüye kullanıyor
    • Saldırganlar kendilerini girişim sermayesi bağlantıları gibi tanıtarak profesyonel ağ platformlarında hedeflerle temas kuruyor, ardından konuşmayı özel bir Telegram grubuna taşıyor
    • İş birliği bahanesiyle, bulutta barındırılan paylaşımlı bir Obsidian kasasına katılım sağlıyorlar
    • İlk erişim, MITRE ATT&CK içindeki T1566.002 Spearphishing Link tekniğine karşılık geliyor
    • Kurban, Obsidian içinde “Installed community plugins” senkronizasyon özelliğini elle etkinleştirdiğinde bulaşma başlıyor
    • Paylaşımlı kasa, normal Obsidian eklentileri olan Shell Commands ve Hider'ın kötü amaçlı sürümlerini içeriyor; topluluk eklentilerinin etkinleştirilmesi kod yürütmeye yol açıyor
    • Ele geçirilmiş Shell Commands eklentisi kötü amaçlı betikleri çalıştırıyor
    • Kullanıcı etkileşimiyle kötü amaçlı dosya çalıştırma aşaması, T1204.002 Malicious File tekniğine karşılık geliyor

  • Windows ve macOS bulaşma aşamaları

    • Windows'ta kötü amaçlı eklenti bir PowerShell betiği çalıştırıyor ve bu betik PHANTOMPULL yükleyicisini bırakıyor
    • macOS'ta benzer süreç AppleScript üzerinden ilerliyor
    • Ardından PHANTOMPULL, son yük olan PHANTOMPULSE RAT'ini çözüp çalıştırıyor
    • PHANTOMPULSE, dosya tabanlı tespitten kaçınmak için son yükü doğrudan bellekte çalıştırıyor; bu da T1055 Process Injection ile ilişkilendiriliyor

PHANTOMPULSE yetenekleri ve C2 yöntemi

  • PHANTOMPULSE etkinleştirildikten sonra tuş vuruşlarını yakalayabiliyor, ekran görüntüsü alabiliyor, dosya sızdırabiliyor ve keyfi komutlar çalıştırabiliyor
  • C2 iletişimi, T1102.002 Bidirectional Communication tekniğine karşılık gelen bir yöntemle kuruluyor
  • PHANTOMPULSE, sabit kodlanmış bir cüzdan adresinin en son Ethereum işlemlerini sorguluyor
  • C2 sunucusunun IP adresi bu işlem verisinin içine gömülmüş durumda ve zararlı yazılım komut alacağı sunucuyu bu yolla belirliyor
  • Bu yöntem, merkeziyetsiz ve sansüre dayanıklı bir C2 adres doğrulama mekanizması sağlayarak tehdit altyapısını devre dışı bırakmayı zorlaştırıyor

Etki

  • Bulaşma başarılı olduğunda saldırganlar kurban sistemine tam erişim elde edebiliyor
  • Finans ve kripto para alanında çalışanların hassas kurumsal verileri, fikri mülkiyeti, işlem stratejileri, kripto cüzdan anahtarları ve borsa kimlik bilgileri çalınabiliyor
  • Yapının hem Windows hem de macOS'u hedeflemesi, potansiyel kurban kapsamını genişletiyor
  • Blokzincir tabanlı C2 kullanımı yüksek düzeyde gelişmişlik gösteriyor ve tehdit altyapısını bozmayı zorlaştırıyor

Tespit göstergeleri

  • Süreçler

    • Obsidian.exe
    • Obsidian'ın powershell.exe, cmd.exe, osascript gibi alt süreçler oluşturup oluşturmadığı izlenmeli

  • Komut satırı desenleri

    • powershell -ExecutionPolicy Bypass
    • Obsidian gibi standart dışı uygulamalardan başlatılan PowerShell çalıştırmaları şüphe göstergesi sayılmalı

  • Ağ trafiği

    • Beklenmeyen süreçlerden Ethereum blokzinciri düğümlerine veya ağ geçitlerine giden bağlantılar izlenmeli
    • Bu tür bağlantılar, PHANTOMPULSE'un C2 adresini doğrulamaya çalıştığını gösterebilir

  • Dosya yolları

    • [Vault]/.obsidian/plugins/
    • Resmî eklenti pazaryeri dışında Obsidian eklenti dizinindeki dosyaların oluşturulup oluşturulmadığı veya değiştirilip değiştirilmediği kontrol edilmeli

Tespit ve müdahale

  • Süreç izleme: Obsidian sürecinin powershell.exe, cmd.exe, bash, osascript gibi komut satırı yorumlayıcılarını başlattığında tespit ve uyarı üreten EDR kuralları gerekli
  • Kullanıcı eğitimi: Yüksek riskli sektörlerdeki kullanıcılar, sosyal mühendislik ile paylaşımlı kasa ve eklenti gibi iş birliği araçlarının kötüye kullanılma risklerinin farkında olmalı
  • Uygulama kontrolü: Mümkün olan yerlerde, uygulama kontrolü politikalarıyla Obsidian benzeri uygulamalarda onaysız topluluk eklentilerinin kurulumu ve çalıştırılması sınırlandırılmalı
  • Ağ izleme: Bu etkinliğin beklenmediği uç noktalarda, blokzincir hizmetleriyle ilişkili anormal DNS sorguları veya doğrudan IP bağlantıları izlenmeli

Azaltma önlemleri

  • Topluluk eklentisi doğrulaması: Tüm uygulamalarda üçüncü taraf veya topluluk tarafından geliştirilen eklentiler etkinleştirilirken çok dikkatli olunmalı; yalnızca resmî ve güvenilir pazaryerlerinden kurulmalı ve izinleri gözden geçirilmeli
  • Güvenilmeyen kasalarda otomatik senkronizasyonun devre dışı bırakılması: Bilinmeyen veya güvenilmeyen kaynaklardan gelen Obsidian kasalarına bağlanırken eklenti senkronizasyonu etkinleştirilmemeli
  • En az ayrıcalık ilkesi: Obsidian gibi uygulamalar, ihlal etkisini sınırlamak için yönetici yetkileriyle değil standart kullanıcı yetkileriyle çalıştırılmalı
  • Uç nokta güvenliği: Şüpheli betik çalıştırmalarını ve süreç enjeksiyonu tekniklerini tespit edip engellemek için güncel EDR ve antivirüs çözümleri dağıtılmalı

MITRE ATT&CK azaltma eşlemesi

  • User Training
    • Kullanıcıların sosyal mühendislik taktiklerini tanıması ve istenmeyen iş birliği davetlerine şüpheyle yaklaşması için eğitilmesi, bu saldırı vektörüne karşı temel savunmadır
  • Execution Prevention
    • Uygulama kontrolü kullanılarak Obsidian gibi uygulamaların PowerShell ve benzeri betikleri çalıştırması engellenirse saldırı zinciri kırılabilir
    • D3FEND eşlemesi: D3-EAL
  • Software Configuration
    • Uygulamalar üçüncü taraf eklenti kurulumunu devre dışı bırakacak veya katı onay gerektirecek şekilde yapılandırılırsa saldırı yüzeyi azalır
    • D3FEND eşlemesi: D3-ACH

Referanslar

İlgili okumalar

1 yorum

 
GN⁺ 4 시간 전
Hacker News yorumları

  • Obsidian CEO’suyum. Eklenti güvenliğiyle ilgili büyük bir güncelleme yakında geliyor ve bunun bu başlıkta dile getirilen endişelerin çoğunu giderebileceğini düşünüyorum
    Zor bir sorun ama üzerinde çalışıyoruz. Yine de başlık yanıltıcı. Bu yazı, kullanıcının Obsidian’ın birden fazla güvenlik uyarısını bizzat reddetmesini gerektiren bir sosyal mühendislik saldırısı hakkında; bildiğim kadarıyla kavram kanıtı düzeyinde ve gerçek bir mağduriyet bildirimi görmedim

    • Yıllardır eklentilerin güvenli olmadığını söylüyorum. Discord’da eklentilerin tam disk erişimi olduğunu söylediğim için tepki gördüğüm zamanı çok net hatırlıyorum. Artık çok geç
    • Artık eklentiler etkin olsa bile .obsidian klasörünü vault dışına taşıma ve varsayılan olarak vault içindeki bu klasörü yok sayma seçeneği gelecek mi?
    • Ne kadar zor olur bilmiyorum ama Android’deki gibi bir izin iletişim kutusu eklemek çok yardımcı olurdu. Obsidian eklentilerinin %99’unun ne tam disk erişimine ne de internet erişimine ihtiyacı var
    • İstemcinin kaynak kodunun açık olması da birçok endişeyi giderebilir
    • “Birden fazla güvenlik uyarısını aktif olarak reddetmek” derken açılır pencereler gibi bir şey mi kastediliyor? Çoğu insan bunları fazla düşünmeden onaylar
      Bence eklenti/uzantı çalıştırmak varsayılan olarak biraz daha zor olmalı. Eklenti kullanmadan önce ek engellerin kullanıcı sürtünmesi yarattığını anlıyorum, ama sandbox ya da başka kısıtlamalar olmadan incelenmemiş rastgele kodu güvenli şekilde çalıştırmanın gerçekten bir yolu olduğunu sanmıyorum

  • Bu yanıltıcı bir başlık. Sanki meşru bir eklenti ele geçirilmiş ve kötü amaçlı yazılım dağıtan başka bir tedarik zinciri saldırısı olmuş gibi gösteriyor
    Oysa gerçekte kurban, senkronize bir vault üzerinde işbirliğine davet ediliyor ve o vault’un içinde RAT teslim eden resmî olmayan bir eklenti önceden bulunuyor. Bu tamamen farklı bir hikâye

    • Nesi yanıltıcı?
      “Novel Campaign Abuses Obsidian Note-Taking App to Target Finance and Crypto Professionals with PHANTOMPULSE RAT” deniyor. Bu yeni bir saldırı, Obsidian’ı kötüye kullanıyor, belli bir grubu hedef alıyor ve RAT’in vault içinde olduğu anlamına geliyor; bu yüzden bana doğru bir ifade gibi görünüyor

  • Obsidian’ı gerçekten seviyorum ve her gün kullanıyorum ama topluluk eklentilerini kullanmıyorum çünkü izin sistemi yeterli değil
    Bir gün eklentilerin ihtiyaç duyduğu izinleri beyan ettiği ve bunun kullanıcıya gösterildiği zamanı umuyorum. Obsidian ekibinin bu konuya ciddi yaklaştığını düşünüyorum ve ne sunacaklarını merak ediyorum. Güvenim var ama en baştan daha iyi bir izin sistemi ve sandbox olmadan tasarlanmış olması şaşırtıcı

    • Markdown dosyalarına bakmak için VS Code kullanmaktan sıkıldığım için Obsidian kullanmaya başladım. Eklenti kurmam gerekmediği için şanslıyım. Görünüşe göre bu kısım oldukça kötü bir tasarım

  • “Mağdurlardan ‘Installed community plugins’ senkronizasyon özelliğini açmaları isteniyor”
    Obsidian’da bu tür saldırıları önlemek için korumalar var ve mağdurlar bunları görmezden gelmeye ikna edilmiş. Bu sadece başarılı bir sosyal mühendislik vakası. Bu saldırı Obsidian’ın ya da eklenti sisteminin bir açığını istismar etmiyor; bu yüzden böyle başlıklar yüzünden Obsidian’ın hedefe konmasını görmek hoşuma gitmiyor

    • Katılmıyorum. https://obsidian.md/help/plugin-security#Plugin+capabilities
      “Teknik sınırlamalar nedeniyle Obsidian, eklentileri belirli izinler veya erişim seviyeleriyle güvenilir biçimde kısıtlayamaz. Bu nedenle eklentiler Obsidian’ın erişim seviyesini devralır.”
      Topluluk eklentileri bilgisayarınızdaki dosyalara erişebilir, internete bağlanabilir ve ek programlar da kurabilir. Obsidian’ın hiçbir koruması yok; eklenti kurmak, bilgisayara tam erişim vermek demek. Bunun olması sadece zaman meselesiydi ve bence 2010 civarından beri böyle bir eklenti sistemini piyasaya sürmek mazur görülemez bir dikkatsizlikti
    • Obsidian’ı yoğun kullanıyorum ve seviyorum ama bu ifşanın değeri, eklentiler konusunda farkındalık yaratması ve saldırı yolunu göstermesinde yatıyor diye düşünüyorum
      Daha az deneyimli kullanıcılar “Sonuçta sadece bir Markdown dosyaları koleksiyonu, kötü amaçlı yazılım konusunda çok endişelenmem gerekmiyordur herhalde” diye düşünebilir

  • Neden neredeyse tüm eklenti sistemleri bu kadar gevşek tasarlanıyor? Doğru düzgün izolasyon/izin özellikleri sağlayan iyi bir eklenti geliştirme çatısı olmadığı için iş yükü çok fazla mı, yoksa insanlar ne gerektiğini yaygın olarak bilmediği için ancak kendi sistemleri suistimal edilince mi öğreniyor? İkisi birden mi, yoksa başka bir sebep mi var?

    • Temelde işlevsellik ile güvenlik arasındaki ödünleşim var. Kullanıcılara güçlü yetenekler verip harika şeyler yapmalarını sağlayabilirsiniz ya da anlamlı yeteneklerin çoğunu kaldırıp güvenli hale getirebilirsiniz. Çoğu insan güvenlikten çok işlevselliği tercih ediyor
      Bir diğer sorun da güvenliğin zor olması; genel erişim verip birkaç temel koruma eklemek ise kolay
    • Tüm eklentilerin ihtiyaç duyacağı güvenlik çerçevesi ve bileşenleri tanımlamanız gerekir; bunları tasarlamak, uygulamak, doğrulamak ve sürdürmek zaman alır
      O kısmı atlamak çok daha kolaydır. Yani evet, iş yükü fazla; daha doğrusu bu işin çok olduğunu ama doğru iş olduğunu anlayan güvenlik odaklı bir liderlik gerekiyor
    • Bunun, web yığını ve düzgün arayüzler tasarlayacak kaynak eksikliğinden kaynaklandığını tahmin ediyorum. Bu tür yazılımlar üst düzey JS çerçeveleriyle yazılıyor; dolayısıyla veri akışı kalıpları baştan iyi olmuyor ve çoğu zaman kasıtlı tasarım yerine pratikte mümkün olan yol izleniyor
      Kasıtlı biçimde tasarlamak için soyutlama katmanlarında aşağı inmeniz ve ilgili çerçevenin özel bir fork’unu sürdürmeniz gerekebilir. Bu yüzden muhtemelen uygulamanın kullandığı bağlamın bir kısmını geçirip, bir kütüphane örnekler gibi eklentileri tasarladılar. Sonuçta çalışan en basit yöntem bu. Açıklanan saldırı belirli bir “açık” tarif etmiyor ama Obsidian eklentileri her zaman tanrı modunda ve saldırganlar sadece insanları bunu kullanmaya kandırdı. Birkaç açılır pencerenin arkasında fiilen uzaktan kod çalıştırma bekliyorken sonunda kullanıcıyı suçlamak komik. Geliştiriciler utanmalı
    • Chrome tarayıcı eklentilerinde bile buna benzer güvenlik sorunları var. Milyarlarca dolar ve çok sayıda zeki geliştirici buna harcanmasına rağmen
      Bu, uygulamanın içine bir uygulama mağazası koymaya benziyor. Apple App Store, kimlerin ne yayımlayabileceğini çok sıkı sınırlayarak ve ücret engeli koyarak kötü amaçlı uygulamaları azaltıyor
    • Neden bir eklenti sistemi doğrudan sandbox anlamına gelmek zorunda olsun?

  • Sosyal mühendislik olsa bile, buna izin veren bir eklenti sistemi tasarımı varsa bu platform paylaşımlı araç olarak tamamen kullanılamaz
    Bunu bilmek iyi ama bana göre sonuç, “paylaşılan bir Obsidian vault kullanacaksan bu ayarı doğru tutmalısın”dan çok “paylaşılan Obsidian vault’ları asla kabul etme, onun yerine düz metin dışa aktarma iste” noktasına daha yakın

  • Obsidian’ı ilk kullanmaya başladığımda izlediğim YouTube videoları topluluk eklentilerinin kullanılmasını öneriyordu. Bu tür uyarılar olsa bile muhtemelen topluluk eklentilerini açardım
    Başta iyi niyetli olan bir eklenti geliştiricisi sonradan kötü niyetli hale gelebilir ve kullanıcı bunu bilemez. Geliştirici olmama ve bu riskleri bilmeme rağmen topluluk eklentileri seçeneğini yine de açardım; belki de risk toleransım yüksektir. Umarım azınlıktayımdır ve çoğu kullanıcı böyle davranmıyordur

  • Bu tür şeyler biraz salgın gibi yayılıyor. Her saldırının ya da exploit’in, özellikle de sosyal mühendislik saldırılarının, Metal Gear tarzı bir isme veya bir web sitesine ihtiyacı yok

  • İçeriği okuyunca sorunun Obsidian mağazasındaki eklentilerden değil, açmanız için kandırıldığınız kötü amaçlı bir vaulttan başladığı anlaşılıyor

  • Obsidian’ı kısıtlı izinlerle çalıştırıyorum. Ağ erişimi yok, kendi dizini dışındaki dosya sistemine erişim yok
    Yalnızca eklenti/tema güncelleyeceğim zaman ağ erişimini açıyorum. Güvenilmeyen kod çalıştırabilen diğer uygulamaları da aynı şekilde çalıştırıyorum

    • Bunu nasıl sandbox içine aldığını paylaşabilir misin?