HIKIT ZARARLISI ANALİZİ. APT İncelemesi. Yasin SÜRER BOA Bilgi Teknolojileri ve Güvenliği

Transkript

1 HIKIT ZARARLISI ANALİZİ APT İncelemesi Yasin SÜRER BOA Bilgi Teknolojileri ve Güvenliği

2 Analiz İçeriği Özet... 2 APT ve Hedef... 2 Teknik Analiz... 2 Kod İmzalama Mekanizması... 4 Zararlı Saldırgan Komünikasyonu... 7 Sonuç EK-1: Sabit Veriler BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI 1

3 Özet Siber istihbarat konuları her ne kadar Stuxnet vakasından sonra konuşulmaya başlansa da, aslında bu saldırıların daha ileri boyutta olduğu neredeyse kabul edilmiş durumdadır. Zararlı yazılımların daha spesifik bir hal alması ve gelişmiş saldırılarda önemli rol oynaması göze çarpmaktadır. Stuxnet ve Duqu gibi zararlı yazılımların sonrasında daha sık konuşulmaya başlanan siber istihbarat kavramı, günümüzde teorik olarak tartışılmaktan çıkmıştır. Artık bu tip zararlı yazılımların geliştirilmesi sürecinde devlet desteğinin varlığını tartışmak bile yersizdir. APT ve Hedef HIKIT, Mandiant tarafından keşfedilen ve uzaktan sistemin kontrolünü ele geçirmeye yarayan bir tür zararlı yazılımdır. HIKIT, gelişmiş bir zararlı yazılım olan ve işlevselliğini tamamen çekirdek seviyesinde gerçekleştiren istihbarat toplama amaçlı bir yazılımdır. Burada ilginç olan bu zararlı yazılımın istihbarat amacının tamamen Amerika Birleşik Devletleri Savunma Bakanlığının anlaşmalı/müteahhit firmalarına ait verilerin toplanmasıdır. Aralarında SBIR/STTR listesinde yer alan bazı firmalarında bulunduğu organizasyonlar hakkında çeşitli verilerin toplanmasına yönelik faaliyetler yürütmektedir. Teknik Analiz HIKIT üzerinde teknik analiz yapmak için elimizde sadece oci.dll isimli tek bir obje var. oci.dll isimli dosyanın herhangi bir sıkıştırılma sürecinden geçmediğini teyit ettik. Bu obje üzerinden gittiğimizde karşımıza mevcut çalıştırılabilir dosya içerisinde farklı isimlerde dosya olduğunu görüyoruz. Öncesinde zararlı yazılımın bulaşma süreci aşağıdaki gibidir. Zararlı yazılım ilk adım olarak bir dropper sayesinde oci.dll isimli dosyayı yükler. DLL imzalanmış (driver) modülü sisteme çekirdek (kernel-level) seviyesinde yükler. Çekirdek (kernel-level) seviyesinden yüklenen modül saldırgandan komut bekler. BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI 2

4 Yukarıdaki adımların nasıl gerçekleştiği şekilde görüntülenmiştir. Kullanıcılara çeşitli yollarla bulaşan zararlı yazılım proxy arkasından bağlanan saldırgan ile haberleşmeyi beklemektedir. Tüm bu süreçlerin ardından elimizde bulunan veriler ile analiz işlemine başlayabiliriz. Herşeyden önce çalıştırılabilir dosya hakkında en temel bilgilere ihtiyacımız var. Tüm bunları gerçekleştirmek için zararlı yazılımı, en temel adımlardan başlayarak analiz etmeye başlayabiliriz. BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI 3

5 Yukarıdaki resimde görüldüğü gibi oci.dll dosyası w2fw.sys isimli bir dosya barındırıyor. Böylece zararlı yazılımın bir rootkit içerdiğini daha net olarak görebiliyoruz. Rootkit yazılımları çekirdek seviyesinde çalışmaktadır analiz süreci diğer (use-mode) zararlı yazılımlara kıyasla daha zordur. Kod İmzalama Mekanizması Aşağıdaki aktivitelerden bahsetmeden önce bilinmesi gereken konu kod imzalama (code signing) mantığıdır. Microsoft, çekirdek (kernel level) seviyesinde çalıştırılacak modüllerin güvenilir olduğunu belirlemek için kod imzalama denen tekniği kullanır. Bunun anlamı çekirdeğe yüklenen modülün güvenilir bir modül olduğunu ve onaylandığını bildirmektir. BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI 4

6 Analiz süreincde rastladığımız ilginç olay, *.inf uzantılı dosyaların, GlobalSign sertifikaları sayesinde imzalanmış olmasıdır. GlobalSing 2011 yılında bir hack iddiası ile gündeme gelmiştir. Sunucularından sertifikarların çalındığı şüphesi ile hizmetlerini bir süreliğine durdurmuştur. GlobalSign hakkında hack edildi iddiaları 2011 Eylül ayı başlarında çıkmıştır. Mevcut dosyanın timestamp bilgileri incelendiğinde, dosyanın son derlenme tarihi olarak Ekim ayı işaret ediliyor. BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI 5

7 Rootkit sınıfında incelenen bu zararlı yazılımın kernel seviyesinde işlem gördüğünü belirtmiştik. Bilindiği gibi inf uzantılı dosyalar, driver yazılımlarının nasıl kurulacağı bilgisini içermektedir. GlobalSign sertifikalarının zararlıya implement edildiği bilgisi elimizde olduğuna göre, zararlı yazılım kernel-level işlem yürütebilmek için kendisini imzalı olarak sisteme eklediğini görebiliyoruz. Zararlı yazılım Register defteri içerisinde çeşitli kayıtlar veya modifikasyonlar yapabilmek adına yukarıda görüldüğü gibi bir fonksiyon barındırmaktadır. Bu işlev tamamlandığında enfeksiyon süreçlerine ait diğer rutinler işletilmeye başlamaktadır. BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI 6

8 Zararlı Saldırgan Komünikasyonu Zararlıyı incelemek için açtığımızda bu bilginin yanı sıra daha ilginç veriler elde etmiş oluyoruz. Örneğin, zararlı yazılım, enfeksiyon süreçlerini tamamladığında dışarıdan gelecek komutlar aracılığıyla saldırgan ile bir bağlantı kurabiliyor. Yukarıda görülen disassembly çıktısı saldırganın hedef sisteme bağlanması için işletilen rutine aittir. Bağlantının tamamlanabilmesi için bir takım süreçlerin işletildiğini görüyoruz. Eğer bağlantı kurulduğunda gelen paketler içerisinde belli bir anahtar kelime varsa saldırganın bağlanması süreci tamamlanıyor. Daha teknik olarak zararlı yazılım gelen packetleri monitör edebilmek için kendisini NDIS-Level yüklemekte ve bir sanal network adaptor olarak sisteme eklemektedir. Böylece tüm network e gelen paketleri dinleyerek gelen paketler arasında belli bir pattern arar. BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI 7

9 Bu bağlanma süreci esnasında saldırgan 80 ve 443 numaralı portlar üzerinden hedef ile bağlantı kuruyor. Firewall kuralları içerisinde 80 (HTTP) ve 443(HTTPS) portları izin verilmiş portlar arasında yer alır. Bu durum zararlının firewall yazılım veya cihazlarını by-pass ederek hedefe erişim sağlayabilmesi anlamına gelir. Bu aşamada ilginç olan şey zararlı yazılımın herhangi bir (command and control) sunucuya ya da saldırganın makinesine bağlantı kurmuyor olması. Bunun yerine HIKIT bulaştığı makine üzerinde tüm ağı monitor ederek belli bir anahtar kelime gelmesi durumunda saldırgan ile bağlantı kuruyor. Söz konusu rutinlerin hangi değerleri aldığı ve nereye gittiği konusunda görsel bir sonuç elde edebiliriz. Aşağıda görülen şekilde hangi fonksiyonun - hangi sonuca gittiği daha net olarak görülebilmektedir. Buna göre bağlantının kurulması işleminde hangi rutinlerin etkili olduğu bilgisi bu diyagramda mevcuttur. Zararlı yazılım uzaktan erişim için bağlantı kurduğunda bir kaç komutun işletilmesine izin veriyor. Bu tanım sadece zararlının işlettiği komutlar içindir, saldırganın hedef üzerinde işleteceği komutlar işletim sisteminin tanımladığı komutlardır. Makine kodu içerisinde ilerleken bağlantı kurulduktan sonra işletilecek komutlar arasında rastladığımız shell komutu uzaktaki makine üzerinden bir komut satırı açmaya olanak sağlıyor. BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI 8

10 Bunun anlamı işletim sistemi üzerinde sıradan veya yetkili bir kullanıcının işletebileceği tüm komutları, saldırgan işletebilmesi için sisteme yüklediği arka kapıya direktif verebilir. Kısacası saldırgan için bir command prompt açarak sistem üzerinde amacı doğrultusunda komut çalıştırabilir. Aşağıda görülen file komutu çalıştırıldığı anda driver ile iletişim halindedir. Saldırgan bu sayede dosya okuma, dosya izinlerini değiştirme, dizin oluşturma ve dizin listeleme işlemlerini gerçekleştirebilir. Böylece zararlı, enfeksiyon süreçlerini tamamladığında saldırgan sisteme tam yetki ile erişim sağlamayı başarabilir. Yukarıdaki disassembly daha önce bahsedilen işlemlerin yapılmasıyla ilişkilidir. Zararlının bir başka özelliklerden biri ise saldırganın SOCKS5 yani bir proxy üzerinden bağlantı kurabilmesi özelliğidir. BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI 9

11 Disassembler ile zararlının incelenmesi aşamasında gözümüze çarpan bu özellik, saldırgan proxy üzerinden bağlantı kurabilmek için zararlının içerisine gömdüğü bir fonksiyondur. Böylece iletişimin daha güvenli ve belirsiz hale gelmesi saldırgan hakkında iz sürmeyi zorlaştırmaktadır. Sonuç Mandiant tarafından yayınlanan ve tespit edilen bu zararlı yazılımın, APT saldırısının bir parçası olduğu neredeyse kesindir. Amacının tamamen istihbarat toplamak olduğu ve ABD Savunma Bakanlığı ile anlaşmalı olan firmalar hakkında bilgi toplamak olduğu belirtilmiştir. HIKIT bulaştığı sistemde tamamen kalıcı olmak ve bu süre zarfında sistemleri saldırganın kölesi haline getirmek üzere programlanmıştır. APT saldırılarının benzeri örnekleri günümüzde gittikçe artmaktadır. Daha önce bahsedildiği üzere NDIS Driver seviyesinde bir zararlının ve hizmet ettiği APT saldırısının tespiti oldukça zordur. Yukarıda bahsedilen ve saldırganın belli bir pattern doğrultusunda sisteme bağlantı kurabilmesine yarayan teknik oldukça eski olmak ile birlikte tespiti zordur. Bu tip bir saldırının tespitinin yapılabilmesi bazı durumlarda network trafik analizi ile mümkündür. Analiz boyunca görüldüğü gibi Firewall, Antivirüs gibi yazılım veya cihazların bu tip ataklar karşısında yetersiz kamıştır. Bu ataklardan mağdur olan kurumlar ve güvenlik ürünleri geliştiren firmalar durumun farkındadır. Firewall, anti-virüs gibi klasik güvenlik ürünlerinin yanı sıra kurumların APT ataklarının tespitine yönelik daha farklı çözümlere yönelmeye ehemmiyet göstermelidir. Yasin SÜRER Bilgi Güvenliği Uzmanı BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI 10

12 EK-1: Sabit Veriler.rdata:1001E33C F C bad allocation.rdata:1001e37c C (null).rdata:1001e3a C ( 8PX\a\b.rdata:1001E3B C 700WP\a.rdata:1001E3C C \b`h````.rdata:1001e3c A C xpxxxx\b\a\b.rdata:1001e3e F C CorExitProcess.rdata:1001E C Unknown exception.rdata:1001e44c E C EncodePointer.rdata:1001E E C DecodePointer.rdata:1001E C FlsFree.rdata:1001E C C FlsSetValue.rdata:1001E49C C C FlsGetValue.rdata:1001E4A C FlsAlloc.rdata:1001E4B C LC_TIME.rdata:1001E4BC B C LC_NUMERIC.rdata:1001E4C C C LC_MONETARY.rdata:1001E4D C LC_CTYPE.rdata:1001E4E B C LC_COLLATE.rdata:1001E4EC C LC_ALL.rdata:1001E C \a\b\t\n\v.rdata:1001e55f F C!\"#$%&'()*+,-./ :;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\\]^_`abcdefghijklmnopqrstuvwxyz{ }~.rdata:1001e5dc F C runtime error.rdata:1001e5f E C TLOSS error\r\n.rdata:1001e D C SING error\r\n.rdata:1001e F C DOMAIN error\r\n.rdata:1001e B C R6034\r\nAn application has made an attempt to load the C runtime library incorrectly.\nplease contact the application's support team for more information.\r\n.rdata:1001e6c F7 C R6033\r\n- Attempt to use MSIL code from this assembly during native code initialization\nthis indicates a bug in your application. It is most likely the result of calling an MSIL-compiled (/clr) func from a native constructor or from DllMain.\r\n.rdata:1001E7B C R6032\r\n- not enough space for locale information\r\n.rdata:1001e7f C R6031\r\n- Attempt to initialize the CRT more than once.\nthis indicates a bug in your application..rdata:1001e F C R6030\r\n- CRT not initialized\r\n.rdata:1001e C R6028\r\n- unable to initialize heap\r\n.rdata:1001e89c C R6027\r\n- not enough space for lowio initialization\r\n.rdata:1001e8d C R6026\r\n- not enough space for stdio initialization\r\n.rdata:1001e90c C R6025\r\n- pure virtual function call\r\n.rdata:1001e C R6024\r\n- not enough space for _onexit/atexit table\r\n.rdata:1001e96c C R6019\r\n- unable to open console device\r\n.rdata:1001e C R6018\r\n- unexpected heap error\r\n.rdata:1001e9bc D C R6017\r\n- unexpected multithread lock error\r\n.rdata:1001e9ec C C R6016\r\n- not enough space for thread data\r\n.rdata:1001ea C \r\nthis application has requested the Runtime to terminate it in an unusual way.\nplease contact application's support team for more information.\r\n.rdata:1001eab C C R6009\r\n- not enough space for environment\r\n BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI 11

13 .rdata:1001eadc A C R6008\r\n- not enough space for arguments\r\n.rdata:1001eb D C R6002\r\n- floating point support not loaded\r\n.rdata:1001eb C Microsoft Visual C++ Runtime Library.rdata:1001EB C <program name unknown>.rdata:1001eb A C Runtime Error!\n\nProgram:.rdata:1001EC C.rdata:1001EC3D C ('8PW.rdata:1001EC C 700PP.rdata:1001EC C `h`hhh\b\b\axppwpp\b\b.rdata:1001f C \a\b\t\n\v.rdata:1001f F C!\"#$%&'()*+,-./ :;<=>?@abcdefghijklmnopqrstuvwxyz[\\]^_`abcdefghijklmnopqrstuvwxyz{ }~.rdata:1001f C \a\b\t\n\v.rdata:1001f3a F C!\"#$%&'()*+,-./ :;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\\]^_`ABCDEFGHIJKLMNOPQRSTUVWXY.rdata:1001F C HH:mm:ss.rdata:1001F48C C dddd, MMMM dd, yyyy.rdata:1001f4a C MM/dd/yy.rdata:1001F4B C December.rdata:1001F4C C November.rdata:1001F4CC C October.rdata:1001F4D A C September.rdata:1001F4E C August.rdata:1001F4E C July.rdata:1001F4F C June.rdata:1001F4F C April.rdata:1001F C March.rdata:1001F C February.rdata:1001F C January.rdata:1001F54C C Saturday.rdata:1001F C Friday.rdata:1001F C Thursday.rdata:1001F56C A C Wednesday.rdata:1001F C Tuesday.rdata:1001F C Monday.rdata:1001F C Sunday.rdata:1001F5AC E C united-states.rdata:1001f5bc F C united-kingdom.rdata:1001f5cc C trinidad & tobago.rdata:1001f5e C C south-korea.rdata:1001f5ec D C south-africa.rdata:1001f5fc C C south korea.rdata:1001f D C south africa.rdata:1001f C slovak.rdata:1001f C C puerto-rico.rdata:1001f62c C pr-china.rdata:1001f C pr china.rdata:1001f C C new-zealand.rdata:1001f A C hong-kong.rdata:1001f C holland.rdata:1001f E C great britain.rdata:1001f C england BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI 12

14 .rdata:1001f C czech.rdata:1001f C china.rdata:1001f C britain.rdata:1001f C america.rdata:1001f6ac C swiss.rdata:1001f6b C swedish-finland.rdata:1001f6c C spanish-venezuela.rdata:1001f6d C spanish-uruguay.rdata:1001f6e C spanish-puerto rico.rdata:1001f6fc D C spanish-peru.rdata:1001f70c C spanish-paraguay.rdata:1001f F C spanish-panama.rdata:1001f C spanish-nicaragua.rdata:1001f F C spanish-modern.rdata:1001f C spanish-mexican.rdata:1001f C spanish-honduras.rdata:1001f C spanish-guatemala.rdata:1001f78c C spanish-el salvador.rdata:1001f7a C spanish-ecuador.rdata:1001f7b B C spanish-dominican republic.rdata:1001f7cc C spanish-costa rica.rdata:1001f7e C spanish-colombia.rdata:1001f7f E C spanish-chile.rdata:1001f C spanish-bolivia.rdata:1001f C spanish-argentina.rdata:1001f C portuguese-brazilian.rdata:1001f C norwegian-nynorsk.rdata:1001f C norwegian-bokmal.rdata:1001f A C norwegian.rdata:1001f E C italian-swiss.rdata:1001f E C irish-english.rdata:1001f D C german-swiss.rdata:1001f8a C german-luxembourg.rdata:1001f8b C german-lichtenstein.rdata:1001f8cc C german-austrian.rdata:1001f8dc D C french-swiss.rdata:1001f8ec C french-luxembourg.rdata:1001f C french-canadian.rdata:1001f F C french-belgian.rdata:1001f C C english-usa.rdata:1001f92c B C english-us.rdata:1001f B C english-uk.rdata:1001f A C english-trinidad y tobago.rdata:1001f C english-south africa.rdata:1001f B C english-nz.rdata:1001f C english-jamaica.rdata:1001f C C english-ire.rdata:1001f9a C english-caribbean.rdata:1001f9b C C english-can.rdata:1001f9c F C english-belize.rdata:1001f9d C C english-aus.rdata:1001f9dc C english-american.rdata:1001f9f E C dutch-belgian BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI 13

15 .rdata:1001fa C chinese-traditional.rdata:1001fa C chinese-singapore.rdata:1001fa C chinese-simplified.rdata:1001fa3c C chinese-hongkong.rdata:1001fa C chinese.rdata:1001fa C canadian.rdata:1001fa6c C belgian.rdata:1001fa B C australian.rdata:1001fa C american-english.rdata:1001fa C american english.rdata:1001faa C american.rdata:1001fd C Norwegian-Nynorsk.rdata:1001FDB A C Complete Object Locator'.rdata:1001FDCC D C Class Hierarchy Descriptor'.rdata:1001FDEC C Base Class Array'.rdata:1001FE C C Base Class Descriptor at (.rdata:1001fe1c C Type Descriptor'.rdata:1001FE C C `local static thread guard'.rdata:1001fe4c B C `managed vector copy constructor iterator'.rdata:1001fe C `vector vbase copy constructor iterator'.rdata:1001fea C `vector copy constructor iterator'.rdata:1001fec C `dynamic atexit destructor for '.rdata:1001feec B C `dynamic initializer for '.rdata:1001ff C C `eh vector vbase copy constructor iterator'.rdata:1001ff C `eh vector copy constructor iterator'.rdata:1001ff5c C `managed vector destructor iterator'.rdata:1001ff C `managed vector constructor iterator'.rdata:1001ffac D C `placement delete[] closure'.rdata:1001ffcc B C `placement delete closure'.rdata:1001ffe F C `omni callsig'.rdata:1001fff A C delete[].rdata: C new[].rdata: c C `local vftable constructor closure'.rdata: C `local vftable'.rdata: C `RTTI.rdata: C C `udt returning'.rdata: c B C `copy constructor closure'.rdata: C `eh vector vbase constructor iterator'.rdata:100200a C `eh vector destructor iterator'.rdata:100200c C `eh vector constructor iterator'.rdata:100200e B C `virtual displacement map'.rdata: C `vector vbase constructor iterator'.rdata: D C `vector destructor iterator'.rdata: E C `vector constructor iterator'.rdata: D C `scalar deleting destructor'.rdata: E C `default constructor closure'.rdata:100201a D C `vector deleting destructor'.rdata:100201c C `vbase destructor'.rdata:100201d C `string'.rdata:100201e C `local static guard'.rdata:100201fc C `typeof'.rdata: C `vcall'.rdata: A C `vbtable' BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI 14

16 .rdata: c A C `vftable'.rdata:100202a C operator.rdata:100202c C delete.rdata:100202d C new.rdata:100202d C C unaligned.rdata:100202e B C restrict.rdata:100202f C ptr64.rdata:100202f A C clrcall.rdata: B C fastcall.rdata: B C thiscall.rdata: c A C stdcall.rdata: C pascal.rdata: C cdecl.rdata: c C based(.rdata:100204c C GetProcessWindowStation.rdata:100204E A C GetUserObjectInformationA.rdata:100204FC C GetLastActivePopup.rdata: C GetActiveWindow.rdata: C C MessageBoxA.rdata: C B C USER32.DLL.rdata: C CONOUT$.rdata: C SunMonTueWedThuFriSat.rdata: C JanFebMarAprMayJunJulAugSepOctNovDec.rdata: C GetNativeSystemInfo.rdata: A C %*s%s%d%s.rdata: C password.rdata: c C GET /%s HTTP/1.1\r\n\r\n.rdata: A C.welcome..rdata:10020C F C SYSTEM\\WPA\\PnP.rdata:10020C C seed.rdata:10020c C SOFTWARE\\Microsoft\\Driver Signing.rdata:10020C7C C Policy.rdata:10020C C SOFTWARE\\Microsoft\\Non-Driver Signing.rdata:10020CAC C SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Setup.rdata:10020CDC C C PrivateHash.rdata:10020CF E C bad exception.rdata:10020d C RSDSL.rdata:10020D C h:\\jmvodserver\\hikit\\bin32\\rserver.pdb.rdata:10021dee D C KERNEL32.dll.rdata:10021E B C USER32.dll.rdata:10021F0C D C ADVAPI32.dll.rdata:10021F A C ole32.dll.rdata:10021f6a B C WS2_32.dll.rdata:10021F C C SHLWAPI.dll.rdata:10021FA D C SETUPAPI.dll.rdata:100223F C C RServer.dll.rdata:100223FE C DllRegisterServer.data: C C.?AVbad_alloc@std@@.data:100232A C.?AVexception@std@@.data:100232C C.?AVtype_info@@.data: E B C.data: E B C abcdefghijklmnopqrstuvwxyz.data: e B C ABCDEFGHIJKLMNOPQRSTUVWXYZ BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI 15

17 .data: B C.data: B C abcdefghijklmnopqrstuvwxyz.data: B C ABCDEFGHIJKLMNOPQRSTUVWXYZ.data:10023A C ` y!.data: C.?AVCSetLocale@@.data: C.?AVRConnectItem@@.data:100240A C.?AVCPluginClass@@.data:100240BC E C.?AVCRShell@@.data:100240FC C.?AVbad_exception@std@@ BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI 16