HIKIT Zararlı Analizi Bölüm 2

Transkript

1 HIKIT Zararlı Analizi Bölüm 2 Daha önceki yazımızda HIKIT isimli zararlı yazılımı incelemiştik. Mandiant tarafından yapılan açıklamada, bu zararlı yazılımın Amerikan Savunma Bakanlığı ile ortak çalışan müteahhit firmalardan veri çaldığı belirtilmişti. Bu sonucuna varmalarındaki en büyük kanıt ise Mandiant ın müşterileri arasında bu müteahhit firmaların bulunması ve bu firmaların enfekte olmaları, Mandiant ın da bu enfeksiyonları inceleyerek elde ettiği verilerdi. Internet üzerinde HIKIT hakkında detaylı bir açıklama veya analize ulaşmak mümkün değil. Daha öncesinde belirtildiği gibi yapılan teknik analizlere rağmen bu zararlı yazılımın arkasında kimler olduğu hala belirsiz. Mandiant a göre olayın arkasında Çin menşeili bir APT grubunun olması muhtemel. Bu seferki çalışmamız, bir öncekinin aksine teknik analizden biraz daha uzak ve daha çok olayın soruşturulmasıyla ilgili. Daha önce incelediğimiz bu zararlı yazılımın kaynağı hakkında biraz daha derinlere inmeye karar verdik. Bir önceki analizde bu zararlı yazılımın nasıl bulaştığı konusunda detaylı bir açıklama mevcut değildi. Yaptığımız araştırmalar sonucunda aslında bu zararlı yazılımın sistemlere bulaşmak için Microsoft Internet Explorer üzerinde çalışan Java Script kodlarından faydalandığını gördük. Problem Ürün Üretici Exploit:HTML/IframeRef.Z Internet Explorer Microsoft Peki zararlı bu haliyle nerelerden bulaşıyordu? Bunun için tüm sonuçları listelememiz mümkün değildi çünkü her biri için ayrı araştırma yapmak oldukça fazla vakit gerektirecek bir konu. Doğrudan hedef alınan bir sistem olduğunda, tabi ki bu araştırmaları yapmak mümkün olacaktır. Bizim odak noktamız analiz ettiğimiz zararlı yazılımdı çünkü HIKIT oldukça fazla varyanta sahip bir zararlı yazılım. Yukarıda belirtildiği üzere bu exploit kodunun hangi web siteleri üzerinde bulunduğunu araştırmaya başladık. Sonucunda exploit kodunu kullanan sitelerin bir listesine ulaştık. Aşağıda bu siteler listelenmiştir. tkit.tk tweak.tk ahraz.tk html-channel.com freedomains4all.tk html-site.nl goodman-shirt.de html-rulez.ru Domain Listesi

2 html-studio.ru tkmailias.tk webnews.it Her bir domain için araştırma yaptığımızda, birçoğuna ait elle tutulur bir veri bulamadık. Bunun sebebi kayıtlı bir domain bulamamamızdı. Aralarında sadece tek bir alan adına ait bilgi mevcuttu. Araştırmalarımızı bu alan adı ve üzerine kayıtlı olduğu kişi üzerinden yürüttük ve bulduğumuz mail adresine kayıtlı diğer domain adreslerini tespit ettik, tabi bu sırada bu sitenin hack edilerek alan adının çeşitli zararlıların bulaştırmak üzere araç olarak kullanılmış olabileceğini de unutmamak gerekir. Kayıtlı Diğer Alan Adları cristianos.ws clfooter.ws gaypornreviews.ws duuf2gnia9bt18h7qy1tg621k.ws 888games.ws fel0ny.ws ukrainegirls.ws spydirectory.ws pandorabox.ws Yukarıda görülen alan adlarının birçoğunun aşağıda görülen mail adresine kayıtlı olduğunu tespit ettik. Alan adlarına ve o tarihe ait domain WHOIS kayıtlarına bakacak olursak bu kayıtların aslında kasıtlı yapıldığı anlaşılabilir.

3 En başta HIKIT I bulaştırmak için indirilen dropper ın MS Internet Explorer üzerine çalıştırılan Java Script kodu ile mümkün olduğunu söylemiştik. Aslında yaptığımız araştırmalarda sadece buna bağımlı kalmaktansa farklı uygulamalarda bulunan güvenlik açıkları da kullanılmış. Adobe Flash Player uygulaması bunlardan sadece bir tanesi. Buraya kadar HIKIT in nasıl enfekte olduğu konusunda bir fikrimiz vardı fakat C&C sunucuları hakkında bir bilgi yoktu. Yukarıdaki alan adlarının bağlı olduğu sunucuları incelediğimizde sonuçlar şu şekildeydi; IP Ülke İngiltere Almanya Almanya Rusya Amerika Amerika Amerika Amerika İspanya Slovakya Fransa Yukarıdaki adresler ile doğrudan iletişimde olan, yani HIKIT için ilk atakların yapıldığı IP adresleri ise çok farklı noktalardan merkez ile iletişime geçmekte. En yoğun iletişim ise İspanya da bulunan sunucu üzerinden gerçekleştirilmekte. Bu sunucuya en fazla zararlı yazılım aktarımı ise Çin den gerçekleşiyor Çin den gerçekleşen zararlı yazılım dağıtımlarının kontrol edildiği sunucuya ait IP adresi ise aşağıdaki yerleşkeye işaret ediyor. Aynı noktayı bu sefer adres arayarak değil de, bu adreste ne olduğuna bakmak için sorguladığımızda ise, Çin Halk Cumhuriyeti Guiyang (Guiyang People s Government) yerleşkesi

4 görülmekte. Bu da bizim bu zararlı yazılım dağıtım merkezinin bir Çin devlet yerleşkesi olduğu konusundaki şüphemizi arttırdı. Lakin elimizde hala somut delil olamadığı için bu durumdan emin olamamaktayız. Alt tarafta işletilen iletişimler hala aktif olmakla birlikte bu zararlı yazılımın çok farklı vektörler ile ilgili olduğu söylenebilir. Kullanılan Exploit Kit yazılımlarını incelediğimizde ise çoğunlukla Blackhole Exploit Kit adı verilen yazılıma rastladık. Maltego ile oluşturduğumuz organik graph

5 HIKIT zararlısının kaynağı hakkında hala kesin ifadelerde bulunmak mümkün değil, çok dağıtık bir yapıya sahip ve elde edilen verilerin doğruluğunu inkâr edilemez şekilde delillerle ortaya koymak zor. Yukarıda görünen grafik yapısı, HIKIT ile organik bağlantısı bulunan birçok vektörü içermektedir. Her ne kadar alan adlarının çoğu Almanya ve Rusya kaynaklı olsalar da, alan adlarının barındırıldığı ve zararlıların asıl yayılma noktası olan sunucular çok fazla yerleşkeye dağıtılmış durumda. Her ne kadar en fazla dağıtım kaynağı Çin olsa da Endonezya, Macaristan, Romanya, Kore gibi birçok farklı ülkeden zararlı dağıtımı yapılıyor. Sonuç olarak kaynağı konusunda kesin bir hükme varılamayacak olsa da, araştırmamızın çoğunlukla Çin ekseninde dönmekte olması, aslında güncel tehditleri de göz önünde bulundurduğumuzda, zararlının kaynağı hakkında kuvvetli bir fikir sahibi olmamızı sağlıyor. Trend Micro Deep Discovery Inspector HIKIT zararlı yazılımının ağ üzerinde tespit edilmesine yönelik yaptığımız çalışma için Trend Micro Deep Discovery Inspector ürününü kullandık. Deep Discovery Inspector, zararlı yazılımları ağ üzerinde tarayarak içerisinde barındırdığı Virtual Analyzer modülü ile detaylı olarak analiz yapabilmektedir. Öncelikle, oluşturduğumuz çalışma ortamına Trend Micro Deep Discovery Inspector ü konumlandırdık ve akabinde ağ trafiğimizi omurga switch üzerinden Deep Discovery Inspector e yönlendirdik. Ağ trafiğini dinlemeye başlayan Deep Discovery, ağ trafiğimizden geçen HIKIT zararlısını yukarıdaki ekran görüntüsünde de görüldüğü üzere yakalamayı başardı. Log kaydına baktığımızda, zararlı yazılımın kaynağı, enfekte olan IP adresi ve protokol bilgileri gibi çeşitli veriler yer almakta. Eğer isterseniz zararlı yazılımı daha detaylı incelemek adına Trend Micro nun Threat Connect platformuna bağlanarak bulut üzerinde yapılan analiz sonuçlarına ulaşabilirsiniz.

6 Biz bu detayları görmek için Threat Connect platformuna bağlanmayı tercih ettik. Bunun için Deep Discovery nin yakaladığı zararlı yazılımın detaylarına girerek sadece tehdit ismine tıklamanız yeterli olacaktır.

7 Tehditle ilgili detaylı bilgi istediğinizde, Deep Discovery size otomatik olarak Threat Connect platformuna aktaracaktır. Bu noktadan sonra Trend Micro laboratuvarı tarafından yapılan analiz sonuçlarını görebilmek mümkün. Açılan sayfada zararlının özet bilgileri ve görselleştirilmiş bir organik bağıntı grafiği yer almaktadır.

8 Grafiklerin üzerine tıklayarak detayları görmeniz mümkün. Biz bu aşamadan sonra örnek rapora ulaşabilir ve HIKIT hakkında biraz daha detaylı bilgi edinebiliriz. Aynı ekranda bulunan harita üzerinden HIKIT isimli zararlı yazılımın en çok hangi ülkelerde aktif olduğunu görebilirsiniz. Yukarıda örnek raporda zararlının etkilediği sistemleri, dosya formatını, oluşturduğu ya da etki ettiği süreçleri görmeniz mümkündür. Eğer zararlı yazılım hakkında bu kadar detay yeterli değilse, Trend Micro Threat Connect daha derine inerek zararlının adım adım çalıştırılma anında yarattığı etkileri size gösterebilir.

9 Aynı ekran üzerinde bulunan execution flow sekmesine tıklanarak saniye saniye zararlının sistem üzerinde hangi kaynakları kullandığı ve yaptığı modifikasyonları size sunabilir. Yukarıda kullanılan API ve zararlının zaten enfekte olduğu bir sisteme tekrar enfekte olmamak için oluşturduğu Mutex nesneleri listelenmiştir. İlgili nesnelerin ve kayıtların üzerine tıklayarak detayları görmeniz mümkün, örnek olarak, aşağıda yer alan resimde sistem üzerinde oluşturulan veya değiştirilen Registry değerleri yer almaktadır.

10 Trend Micro Deep Discovery ve Threat Connect, tespit ettiği zararlılara ait ve normal kullanıcıların dahi anlayabileceği seviyede rapor sunabilmektedir. Aynı zamanda, manuel olarak zararlı yazılımın nasıl silineceğine dair açıklamaları sunmaktadır. Yukarıda yer alan resimde HIKIT zararlısının nasıl silineceğine dair gerekli açıklamalar adım adım açıklanmıştır. Üstelik bunu yaparken zararlı yazılıma bağlı olarak bir kaç farklı yöntem sunabilmektedir.