MUDDYWATER APT ANALİZ RAPORU ADEO Bilişim Danışmanlık A.Ş. ADEO DFIR TEMMUZ 2018 HERKESE AÇIK Sürüm 1.0 Harun Güleç Gökmen Güreşçi
İçindekiler Tablosu ÖZET... 2 İNCELENEN DOSYALAR... 4 IL-1801.doc... 4 Uyuşturucu kaçakçılığı.doc... 6 Early election.doc... 8 önemli rapor.doc... 10 güvenlik yönergesi.doc... 12 ngn.tr.doc... 14 invest in Turkey...doc... 16 2015 Yılı Ar-Ge Faaliyetleri Anketi Sonuçları.doc... 18 Türkiye Cumhuriyeti Kimlik Kartı.doc... 20 yönerge.doc... 22 Gizli Koşullar.doc... 24 KEGM-CyberAttack.doc... 26 MIT.doc... 28 Şikayetler ve eleştiriler.doc... 30 Onemli Rapor.doc... 32 TEKNİK ANALİZ DETAYLARI... 34 Kalıcılık Gizlilik... 43 Güvenlik Yazılımlarını Atlatma... 45 Anti Analiz Teknikleri... 49 Bilgi Toplama ve Uzaktan Kod Çalıştırma... 51 Ek-1 Anti-Analiz Kontrolleri... 57 Ek-2 Indicators of Compromise... 58 1
Özet ADEO Bilişim Danışmanlık Hizmetleri A.Ş. bünyesinde bulunan Adli Bilişim ve Olay Müdahalesi biriminin (ADEO DFIR) bir alt parçası olan Siber Tehdit İstihbaratı Ekibi (ADEO CTI Team) tarafından ilk olarak Ekim 2017 civarında Türkiye de görülmeye başlanan Muddywater APT aktivite grubu faaliyetlerine halen devam etmektedir. Muddywater APT grubunun Türkiye üzerindeki aktiviteleri incelendiğinde savunma sanayi firmaları başta olmak üzere Türkiye Cumhuriyeti devlet kurumlarını hedefleri arasında tuttuğu, askeri ve politik gelişmelere yönelik olarak bazı zamanlar yeni siber harekâtlar düzenlediği; buna yönelik olarak da içerisinde Türkçe metinlerin, kamu kurumlarının adlarının ve logolarının geçtiği zararlı Microsoft Office dokümanları kullandıkları tarafımızca takip edilmektedir. Bu aktivitelerin takip edildiği zaman boyunca grubun hedefleri arasında Türkiye yi tutmasının yanında Pakistan, Irak ve Suudi Arabistan gibi ülkeleri de hedeflediği görülmüştür. ADEO DFIR ekibi bünyesinde bulunan Siber Tehdit İstihbaratı Ekibi tarafından Siber Tehdit İstihbaratı Servisi sunduğumuz müşterilerimize ilgili grubun aktiviteleri tespit edildiğinde gerekli bilgilendirme yapılmış ve IOC ler paylaşılmıştır. Bu raporda yer alan bilgiler Türkiye deki diğer kurumları ve şirketleri bilgilendirme amaçlı olarak hazırlanmış ve herkese açık bir sürüm olarak grubun aktivitelerinden bir kesit olarak paylaşılmaktadır. Aktivitelerin takip edildiği süreç içerisinde başka güvenlik firmaları tarafından da bu konuda analizlere yer verildiği görülmüştür. İlgili zararlı dokümanların hedef odaklı oltalama (spear-phishing) yöntemi üzerinden dağıtıldığı bilinmektedir. Bu aktivite grubunun gerek Türkiye hedefli saldırılarındaki verileri askeri, politik ve istihbari açıdan değerlendirmenin sonucu olarak gerekse grubu takip eden diğer güvenlik firmaları tarafından da kabul görmüş olan düşünce, bu aktivite grubunun arkasında İran olduğu yönündedir. Analiz edilen bu zararlıların; ele geçirilen sistem üzerinde uzaktan komut çalıştırılmasına olanak sağladığı, ekran görüntüsü ve çeşitli sistem bilgilerini uzak sunucuya gönderdiği ve komuta kontrol sunucusuyla doğrudan iletişim kurmak yerine proxy olarak kullanılan ele geçirilmiş internet siteleri üzerinden iletişim kurduğu saptanmıştır. Ayrıca sistem üzerinde kalıcılığını sağlamak için değişiklikler yaptığı ve gerek analiz edilmesine gerekse tespit edilmesine karşı birtakım önlemler aldığı görülmüştür. ADEO Adli Bilişim ve Olay Müdahalesi Hizmetleri ile Siber Tehdit İstihbaratı Servisi hakkında daha fazla bilgi almak için bizimle iletişime geçebilirsiniz: cti@adeo.com.tr 2
3
IL-1801.doc İncelenen Dosyalar DOSYA ADI DOSYA BOYUTU DOSYA TÜRÜ MD5 SHA1 SHA256 SSDEEP İLK KEZ GÖRÜLME ZAMANI SON KEZ GÖRÜLME ZAMANI EXIF BİLGİLERİ IL-1801.doc 1.42 MB MS Word Document cc019683021a4ff05e84860b62676dc1 2062978f17547adada1bc2620e087db0bd216ec8 1ee9649a2f9b2c8e0df318519e2f8b4641fd790a118445d7a0c0b3c02b1ba942 24576:FD5Quuk9mXV/RYe46ovzlR/zaTdb4exdfNjCGaukF15E:FDq7auE15E 2018-03-03 17:32:03 2018-05-15 08:16:44 AppVersion: 16.0 CharCountWithSpaces: 3 Characters: 3 CodePage: Windows Latin 1 (Western European) CompObjUserType: Microsoft Word 97-2003 Document CompObjUserTypeLen: 32 CreateDate: 2018:01:22 13:10:00 FileType: DOC FileTypeExtension: doc HeadingPairs: Title, 1 HyperlinksChanged: No Lines: 1 LinksUpToDate: No MIMEType: application/msword ModifyDate: 2018:01:22 13:10:00 Pages: 1 Paragraphs: 1 RevisionNumber: 2 ScaleCrop: No Security: None SharedDoc: No Software: Microsoft Office Word Template: Normal.dotm TotalEditTime: 0 Words: 0 4
5
Uyuşturucu kaçakçılığı.doc DOSYA ADI DOSYA BOYUTU DOSYA TÜRÜ MD5 SHA1 SHA256 SSDEEP İLK KEZ GÖRÜLME ZAMANI SON KEZ GÖRÜLME ZAMANI EXIF BİLGİLERİ Uyuşturucu kaçakçılığı.doc 559.5 KB MS Word Document f2b5373f32a4b9b3d34701ff973ba69c 36b2a003df195e2d640412a5791b631037e04e4b 2a49d29d58d4d962bee5430e40f488bb79ebab92cf13db5bb4708f3eaf95caed 12288:aXxYnZLfy5r9uJxS/dE22U9n4KmiXKST:aX+NC9jVEq94EaS 2018-05-04 06:48:52 2018-05-14 20:01:25 AppVersion: 16.0 CharCountWithSpaces: 112 Characters: 97 CodePage: Windows Latin 1 (Western European) CompObjUserType: Microsoft Word 97-2003 Document CompObjUserTypeLen: 32 CreateDate: 2018:04:04 15:29:00 FileType: DOC FileTypeExtension: doc HeadingPairs: Title, 1 Hyperlinks: http://kiyiemniyeti.gov.tr/?lang=2, http://www.iotap.in/portals/20/images/o365-icon.png HyperlinksChanged: No Lines: 1 LinksUpToDate: No MIMEType: application/msword ModifyDate: 2018:04:28 07:38:00 Pages: 1 Paragraphs: 1 RevisionNumber: 1 ScaleCrop: No Security: None SharedDoc: No Software: Microsoft Office Word Template: Normal.dotm TotalEditTime: 0 Words: 16 6
7
Early election.doc DOSYA ADI DOSYA BOYUTU DOSYA TÜRÜ MD5 SHA1 SHA256 SSDEEP İLK KEZ GÖRÜLME ZAMANI SON KEZ GÖRÜLME ZAMANI EXIF BİLGİLERİ Early election.doc 722.5 KB MS Word Document aa564e207926d06b8a59ba50ca2c543d 7b5000cbc07308f030f8bedba6620d767a0504b5 3eb27ecfbe5381b9cf4dcba2486e9773d9893b92c95032be784e0d2198740539 12288:/XxYnZLfy5r9uJxS84f6VMWuxJ718Gjhnk+mmW9VwOa5rFeY9MmiXOST:/X+NC9j wjuz718gj49v25rflies 2018-05-15 17:21:05 2018-05-15 17:21:05 AppVersion: 16.0 CharCountWithSpaces: 190 Characters: 163 CodePage: Windows Latin 1 (Western European) CompObjUserType: Microsoft Word 97-2003 Document CompObjUserTypeLen: 32 CreateDate: 2018:04:29 09:09:00 FileType: DOC FileTypeExtension: doc HeadingPairs: Title, 1 Hyperlinks: http://kiyiemniyeti.gov.tr/?lang=2, http://www.iotap.in/portals/20/images/o365-icon.png HyperlinksChanged: No Lines: 1 LinksUpToDate: No MIMEType: application/msword ModifyDate: 2018:04:29 11:15:00 Pages: 1 Paragraphs: 1 RevisionNumber: 1 ScaleCrop: No Security: None SharedDoc: No Software: Microsoft Office Word Template: Normal.dotm TotalEditTime: 0 Words: 28 8
9
önemli rapor.doc DOSYA ADI DOSYA BOYUTU DOSYA TÜRÜ MD5 SHA1 SHA256 SSDEEP İLK KEZ GÖRÜLME ZAMANI SON KEZ GÖRÜLME ZAMANI EXIF BİLGİLERİ önemli rapor.doc 1.21 MB MS Word Document eb69fb45feb97af81c2f306564acc2da 6059e4d34dee97e6f63be8cb9467327ceb7c7f90 6a68e8b12960257621cb89f979c1fbbd0f13c2338fad0f64e133deb95c99b2f9 12288:KExSBu9Zo/ftmSE5H9Si+WUtLYgPs3/ODmTCHHuuVZ/u3AGJoecCyPF+4TTeqq9z: 3ZqUS0pDFV/5TCuwDrF+4TTehzH 2018-05-21 16:28:23 2018-05-22 06:25:33 AppVersion: 16.0 CharCountWithSpaces: 1291 Characters: 1101 CodePage: Windows Latin 1 (Western European) CompObjUserType: Microsoft Word 97-2003 Document CompObjUserTypeLen: 32 CreateDate: 2018:05:01 04:53:00 FileType: DOC FileTypeExtension: doc HeadingPairs: Title, 1 Hyperlinks: https://www.egm.gov.tr/sayfalar/rss.aspx, https://goo.gl/8wjhk0, https://plus.google.com/+emniyetgenelm%c3%bcd%c3%bcrl%c3%bc%c4%9f%c3%bc/ posts, https://www.instagram.com/emniyetgm/?ref=badge, https://twitter.com/emniyetgm, https://www.facebook.com/emniyetgm HyperlinksChanged: No Lines: 9 LinksUpToDate: No MIMEType: application/msword ModifyDate: 2018:05:21 11:31:00 Pages: 1 Paragraphs: 2 RevisionNumber: 1 ScaleCrop: No Security: None SharedDoc: No Software: Microsoft Office Word Template: Normal.dotm TotalEditTime: 0 Words: 192 10
11
güvenlik yönergesi.doc DOSYA ADI DOSYA BOYUTU DOSYA TÜRÜ MD5 SHA1 SHA256 SSDEEP İLK KEZ GÖRÜLME ZAMANI SON KEZ GÖRÜLME ZAMANI EXIF BİLGİLERİ güvenlik yönergesi.doc 702.5 KB MS Word Document ff46053ad16728062c6e7235bc7e8deb a62b4ecfd5929769e5aeaef9785efce1d4919465 6edc067fc2301d7a972a654b3a07398d9c8cbe7bb38d1165b80ba4a13805e5ac 12288:sToNUZQl+6VWXBi7O9DXKUR43J0HQVqe6ITfEjRUEMlNn03:Z/ln+BioKbOsq+Tb0 2018-03-05 06:48:12 2018-05-15 08:19:12 AppVersion: 16.0 CharCountWithSpaces: 90 Characters: 78 CodePage: Windows Latin 1 (Western European) CompObjUserType: Microsoft Word 97-2003 Document CompObjUserTypeLen: 32 CreateDate: 2018:03:04 19:55:00 FileType: DOC FileTypeExtension: doc HeadingPairs: Title, 1 HyperlinksChanged: No Lines: 1 LinksUpToDate: No MIMEType: application/msword ModifyDate: 2018:03:04 19:55:00 Pages: 1 Paragraphs: 1 RevisionNumber: 1 ScaleCrop: No Security: None SharedDoc: No Software: Microsoft Office Word Template: Normal.dotm TotalEditTime: 0 Words: 13 12
13
ngn.tr.doc DOSYA ADI DOSYA BOYUTU DOSYA TÜRÜ MD5 SHA1 SHA256 SSDEEP İLK KEZ GÖRÜLME ZAMANI SON KEZ GÖRÜLME ZAMANI EXIF BİLGİLERİ ngn.tr.doc 2.71 MB MS Word Document faa4469d5cd90623312c86d651f2d930 07704be3cb7c7dd6cfb987ded284960f721074fd 41a32a19c78a542ab4d0701c31d9ef6c7f019c9bc604ab9415f4790b7ac6c591 24576:wCOstnLozvG/vwJO2BZX6aD7+43Suq1nXVvrr6fcHXzMDSJear:wCvtnLCKwJ9Bp6 yk43ledis 2018-01-18 12:23:43 2018-05-08 12:43:56 AppVersion: 15.0 CharCountWithSpaces: 134 Characters: 115 CodePage: Windows Latin 1 (Western European) CompObjUserType: Microsoft Word 97-2003 Document CompObjUserTypeLen: 32 CreateDate: 2017:12:19 07:18:00 FileType: DOC FileTypeExtension: doc HeadingPairs: Title, 1 Hyperlinks: http://www.grafidea.com.tr/wp-content/uploads/2016/02/logo-ngnnew.png HyperlinksChanged: No Lines: 1 LinksUpToDate: No MIMEType: application/msword ModifyDate: 2018:01:18 08:13:00 Pages: 1 Paragraphs: 1 RevisionNumber: 1 ScaleCrop: No Security: None SharedDoc: No Software: Microsoft Office Word Template: Normal.dotm TotalEditTime: 0 Words: 20 14
15
invest in Turkey...doc DOSYA ADI DOSYA BOYUTU DOSYA TÜRÜ MD5 SHA1 SHA256 SSDEEP İLK KEZ GÖRÜLME ZAMANI SON KEZ GÖRÜLME ZAMANI EXIF BİLGİLERİ invest in Turkey...doc 1.42 MB MS Word Document b8939fa58fad8aa1ec271f6dae0b7255 0336503957730b0669a4575fa64b9c4d9d25f240 76e9988dad0278998861717c774227bf94112db548946ef617bfaa262cb5e338 24576:/COstnLozvG/vwJO2BZX6aD8BmKW0Pka/IgcmNbAVFdJFET3a9:/CvtnLCKwJ9Bp 6yxVFne 2018-03-05 13:53:58 2018-05-15 08:50:37 AppVersion: 16.0 CharCountWithSpaces: 232 Characters: 199 CodePage: Windows Latin 1 (Western European) CompObjUserType: Microsoft Word 97-2003 Document CompObjUserTypeLen: 32 CreateDate: 2018:02:15 08:53:00 FileType: DOC FileTypeExtension: doc HeadingPairs: Title, 1 HyperlinksChanged: No Lines: 1 LinksUpToDate: No MIMEType: application/msword ModifyDate: 2018:02:22 08:09:00 Pages: 1 Paragraphs: 1 RevisionNumber: 1 ScaleCrop: No Security: None SharedDoc: No Software: Microsoft Office Word Template: Normal.dotm TotalEditTime: 0 Words: 34 16
17
2015 Yılı Ar-Ge Faaliyetleri Anketi Sonuçları.doc DOSYA ADI DOSYA BOYUTU DOSYA TÜRÜ MD5 SHA1 SHA256 SSDEEP İLK KEZ GÖRÜLME ZAMANI SON KEZ GÖRÜLME ZAMANI EXIF BİLGİLERİ 2015 Yılı Ar-Ge Faaliyetleri Anketi Sonuçları.doc 2.11 MB MS Word Document 781bbdb421a473206fc37919f28a27db d85b45996684e12dabcedcd03a5c8e0bdd6f1935 366d8b84a43a528e6aaf9ecfc38980b148f983967803914471ccf011b9bb0832 24576:qizYdhBFmZ7r13eUY1fbmfXQrtvU6VmgEBoYnQxQWY6wuc4OAN55mYvxwCvil6kF :qizydlfc3ggpofv8fnorrot 2018-01-18 06:34:26 2018-02-27 10:50:26 AppVersion: 16.0 CharCountWithSpaces: 425 Characters: 363 CodePage: Windows Latin 1 (Western European) CompObjUserType: Microsoft Word 97-2003 Document CompObjUserTypeLen: 32 CreateDate: 2018:01:17 12:44:00 FileType: DOC FileTypeExtension: doc HeadingPairs: Title, 1 HyperlinksChanged: No Lines: 3 LinksUpToDate: No MIMEType: application/msword ModifyDate: 2018:01:18 04:22:00 Pages: 1 Paragraphs: 1 RevisionNumber: 1 ScaleCrop: No Security: None SharedDoc: No Software: Microsoft Office Word Template: Normal.dotm TotalEditTime: 0 Words: 63 18
19
Türkiye Cumhuriyeti Kimlik Kartı.doc DOSYA ADI DOSYA BOYUTU DOSYA TÜRÜ MD5 SHA1 SHA256 SSDEEP İLK KEZ GÖRÜLME ZAMANI SON KEZ GÖRÜLME ZAMANI EXIF BİLGİLERİ Türkiye Cumhuriyeti Kimlik Kartı.doc 706.5 KB MS Word Document f84914c30ae4e6b9b1f23d5c01e001ed 78ba7c54d0ee1009ea8fdf7a198ff3a2b0a7a4f7 18479a93fc2d5acd7d71d596f27a5834b2b236b44219bb08f6ca06cf760b74f6 12288:+tTvdMYoT+KVuv5C+mVj7C/ScRBhqsFX7s/D0IBcZY:Ul2TfG5ClCzv/X74a 2018-03-05 12:41:29 2018-05-15 09:41:03 AppVersion: 16.0 CharCountWithSpaces: 121 Characters: 104 CodePage: Windows Latin 1 (Western European) CompObjUserType: Microsoft Word 97-2003 Document CompObjUserTypeLen: 32 CreateDate: 2018:03:04 12:52:00 FileType: DOC FileTypeExtension: doc HeadingPairs: Title, 1 HyperlinksChanged: No Lines: 3 LinksUpToDate: No MIMEType: application/msword ModifyDate: 2018:03:04 13:01:00 Pages: 1 Paragraphs: 1 RevisionNumber: 5 ScaleCrop: No Security: None SharedDoc: No Software: Microsoft Office Word Template: Normal.dotm TotalEditTime: 0 Words: 18 20
21
yönerge.doc DOSYA ADI DOSYA BOYUTU DOSYA TÜRÜ MD5 SHA1 SHA256 SSDEEP İLK KEZ GÖRÜLME ZAMANI SON KEZ GÖRÜLME ZAMANI EXIF BİLGİLERİ yönerge.doc 1.08 MB MS Word Document 3c2a0d6d0ecf06f1be9ad411d06f7ba8 6123f7da1f716bbb9e0a8e76255ee6a68c6c9cf7 38556ba0b512636006c00b51f24ac92755bd1f1b21b4ae1812abf6bf9543221e 12288:/ExSBu9Zo/ftmSE5H9Si+WUtL0CwTLCtdHbuuKZ/u3EGJhecCE1/BHzRKR:QZqUS 0pD1XCtdKrEb/5zQ 2018-05-15 14:18:44 2018-05-15 14:18:44 AppVersion: 16.0 CharCountWithSpaces: 1237 Characters: 1055 CodePage: Windows Latin 1 (Western European) CompObjUserType: Microsoft Word 97-2003 Document CompObjUserTypeLen: 32 CreateDate: 2018:05:01 04:53:00 FileType: DOC FileTypeExtension: doc HeadingPairs: Title, 1 HyperlinksChanged: No Hyperlinks: https://www.egm.gov.tr/sayfalar/rss.aspx, https://goo.gl/8wjhk0, https://plus.google.com/+emniyetgenelm%c3%bcd%c3%bcrl%c3%bc%c4%9f%c3%b C/posts, https://www.instagram.com/emniyetgm/?ref=badge, https://twitter.com/emniyetgm, https://www.facebook.com/emniyetgm, http://www.iotap.in/portals/20/images/o365-icon.png Lines: 8 LinksUpToDate: No MIMEType: application/msword ModifyDate: 2018:05:14 09:13:00 Pages: 1 Paragraphs: 2 RevisionNumber: 1 ScaleCrop: No Security: None SharedDoc: No Software: Microsoft Office Word Template: Normal.dotm TotalEditTime: 0 Words: 184 22
23
Gizli Koşullar.doc DOSYA ADI DOSYA BOYUTU DOSYA TÜRÜ MD5 SHA1 SHA256 SSDEEP İLK KEZ GÖRÜLME ZAMANI SON KEZ GÖRÜLME ZAMANI EXIF BİLGİLERİ Gizli Koşullar.doc 1.14 MB MS Word Document f00fd318bf58586c29ab970132d1fd2a 6f5f226c071f97ac46c0b4f4d390fcce3f40b860 bbcafdb4fd7bf107d8b85934286d531536b7a0a30e5eeed07e27f0f7afcf8a77 12288:9ExSBu9Zo/ftmSE5H9Si+WUtL0CwTLCtyHiuurZ/u3bGJeecCLp04gahNO6UNu//: yzqus0pd1xctyvkag04gioqf 2018-05-15 14:16:28 2018-05-25 15:50:06 AppVersion: 16.0 CharCountWithSpaces: 1237 Characters: 1055 CodePage: Windows Latin 1 (Western European) CompObjUserType: Microsoft Word 97-2003 Document CompObjUserTypeLen: 32 CreateDate: 2018:05:01 04:53:00 FileType: DOC FileTypeExtension: doc HeadingPairs: Title, 1 HyperlinksChanged: No Hyperlinks: https://www.egm.gov.tr/sayfalar/rss.aspx, https://goo.gl/8wjhk0, https://plus.google.com/+emniyetgenelm%c3%bcd%c3%bcrl%c3%bc%c4%9f%c3%b C/posts, https://www.instagram.com/emniyetgm/?ref=badge, https://twitter.com/emniyetgm, https://www.facebook.com/emniyetgm, http://www.iotap.in/portals/20/images/o365-icon.png Lines: 8 LinksUpToDate: No MIMEType: application/msword ModifyDate: 2018:05:08 06:40:00 Pages: 1 Paragraphs: 2 RevisionNumber: 1 ScaleCrop: No Security: None SharedDoc: No Software: Microsoft Office Word Template: Normal.dotm TotalEditTime: 0 Words: 184 24
25
KEGM-CyberAttack.doc DOSYA ADI DOSYA BOYUTU DOSYA TÜRÜ MD5 SHA1 SHA256 SSDEEP İLK KEZ GÖRÜLME ZAMANI SON KEZ GÖRÜLME ZAMANI EXIF BİLGİLERİ KEGM-CyberAttack.doc 1.86 MB MS Word Document e87ea47e91540700b31082515d2dc802 18d3cbaba1ee96408ff2f2b36ad9d1bca6d90156 cee801b7a901eb69cd166325ed3770daffcd9edd8113a961a94c8b9ddf318c88 24576:4+uib0yuz+FiwRr0c5c9cNWzInHRMiIqs8xBurTANIsOYwYSSRD4UOtyxRYfJ5XA:du QFjw 2018-01-28 15:40:14 2018-05-15 09:55:32 AppVersion: 16.0 CharCountWithSpaces: 178 Characters: 153 CodePage: Unicode (UTF-8) CompObjUserType: Microsoft Word 97-2003 Document CompObjUserTypeLen: 32 Company: Kıyı Emniyeti Gemi Kurtarma İşletmesi Müdürlüğü CreateDate: 2018:01:27 08:06:00 FileType: DOC FileTypeExtension: doc HeadingPairs: Title, 1, Konu Başlığı, 1 HyperlinksChanged: No LastPrinted: 2012:01:19 12:31:00 Lines: 1 LinksUpToDate: No MIMEType: application/msword ModifyDate: 2018:01:27 08:46:00 Pages: 1 Paragraphs: 1 RevisionNumber: 4 ScaleCrop: No Security: None SharedDoc: No Software: Microsoft Office Word Template: ÖN YAZI.dot TotalEditTime: 9.0 minutes Words: 26 26
27
MIT.doc DOSYA ADI DOSYA BOYUTU DOSYA TÜRÜ MD5 SHA1 SHA256 SSDEEP İLK KEZ GÖRÜLME ZAMANI SON KEZ GÖRÜLME ZAMANI EXIF BİLGİLERİ MIT.doc 1.04 MB MS Word Document ffb8ea0347a3af3dd2ab1b4e5a1be18a 99d3597fea978d3d8ea6ad1e5727d581ec409c1a fbbda9d8d9bcaaf9a7af84d08af3f5140f5f75778461e48253dc761cc9dc027c 12288:PdZOCTFxwhAYllU69CK34b9xxeKZSUfHLK7VENChic43CUjZUMwjdphrGbwJ:y0wA YlCK4xxIKZBe6QZHpZGbg 2018-02-28 13:24:46 2018-05-01 11:34:00 AppVersion: 15.0 CharCountWithSpaces: 153 Characters: 132 CodePage: Windows Latin 1 (Western European) CompObjUserType: Microsoft Word 97-2003 Document CompObjUserTypeLen: 32 CreateDate: 2018:02:10 15:18:00 FileType: DOC FileTypeExtension: doc HeadingPairs: Title, 1 HyperlinksChanged: No Lines: 1 LinksUpToDate: No MIMEType: application/msword ModifyDate: 2018:02:14 12:49:00 Pages: 1 Paragraphs: 1 RevisionNumber: 12 ScaleCrop: No Security: None SharedDoc: No Software: Microsoft Office Word Template: Normal.dotm TotalEditTime: 26.0 minutes Words: 22 28
29
Şikayetler ve eleştiriler.doc DOSYA ADI DOSYA BOYUTU DOSYA TÜRÜ MD5 SHA1 SHA256 SSDEEP İLK KEZ GÖRÜLME ZAMANI SON KEZ GÖRÜLME ZAMANI EXIF BİLGİLERİ Şikayetler ve eleştiriler.doc 3.31 MB MS Word Document 5a42a712e3b3cfa1db32d9e3d832f8f1 a6f51730ee561e3395220b2dd26b927d1de4680d b9c70adbc731b1b2779ab35bb0fab29ae703e2a4a7214c5e2749b02daf326a9b 49152:mw+c2DBdB+LlcAdPIRN5hSPuoSBC+YmlJirdMFXpH7TbTg8QuBLS/ZWjeHp:mw+cb LlcAdAR8PuLCWkrdMF5A8Qh4jm 2018-07-10 14:17:16 2018-07-10 14:17:16 AppVersion: 16.0 CharCountWithSpaces: 240 Characters: 206 CodePage: Windows Latin 1 (Western European) CompObjUserType: Microsoft Word 97-2003 Document CompObjUserTypeLen: 32 CreateDate: 2018:07:10 09:56:00 FileType: DOC FileTypeExtension: doc HeadingPairs: Title, 1 Hyperlinks: http://www.iotap.in/portals/20/images/o365-icon.png HyperlinksChanged: No Lines: 1 LinksUpToDate: No MIMEType: application/msword ModifyDate: 2018:07:10 09:56:00 Pages: 1 Paragraphs: 1 RevisionNumber: 1 ScaleCrop: No Security: None SharedDoc: No Software: Microsoft Office Word Template: Normal.dotm TotalEditTime: 0 Words: 35 30
31
Onemli Rapor.doc DOSYA ADI DOSYA BOYUTU DOSYA TÜRÜ MD5 SHA1 SHA256 SSDEEP İLK KEZ GÖRÜLME ZAMANI SON KEZ GÖRÜLME ZAMANI EXIF BİLGİLERİ Onemli Rapor.doc 727.5 KB MS Word Document 0bf52163f51e0fd59bc0676126ecaffe e8bd0e1b7d546c18b03bc47acfadfe69dfaf1497 ceb89c23b1a1492f0c751270fc2067b7cfe526d7e1ff60392a61f70b67460c57 12288:gExSBu9Zo/ftmSE5H9Si+WUtLLG9JrOAVRoY:xZqUS0pDbr7VWY 2018-07-16 12:22:45 2018-07-16 12:22:45 AppVersion: 16.0 CharCountWithSpaces: 529 Characters: 451 CodePage: Windows Latin 1 (Western European) CompObjUserType: Microsoft Word 97-2003 Document CompObjUserTypeLen: 32 CreateDate: 2018:04:30 17:23:00 FileType: DOC FileTypeExtension: doc HeadingPairs: Title, 1 Hyperlinks: https://www.egm.gov.tr/sayfalar/rss.aspx, https://goo.gl/8wjhk0, https://plus.google.com/+emniyetgenelm%c3%bcd%c3%bcrl%c3%bc%c4%9f%c3%b C/posts, https://www.instagram.com/emniyetgm/?ref=badge, https://twitter.com/emniyetgm, https://www.facebook.com/emniyetgm, http://www.iotap.in/portals/20/images/o365-icon.png HyperlinksChanged: No Lines: 3 LinksUpToDate: No MIMEType: application/msword ModifyDate: 2018:07:16 22:12:00 Pages: 1 Paragraphs: 1 RevisionNumber: 1 ScaleCrop: No Security: None SharedDoc: No Software: Microsoft Office Word Template: Normal.dotm TotalEditTime: 0 Words: 79 32
33
Teknik Analiz Detayları Muddywater APT grubunun aktivitelerinin takip edildiği süre boyunca incelenen zararlı dokümanlar arasında bazı noktalarda benzerlikler bazı noktalarda ise farklılıklar tespit edilmiştir. Tespit edilen bu bulgular incelenen zararlı dokümanlardan seçilerek rapor boyunca paylaşılmıştır. Zararlı Office dokümanları içerisinde bulunan makroların, kullanılacak olan tüm değerleri bir takım XOR işlemleri sonucu ürettiği belirlenmiştir. önemli rapor.doc (eb69fb45feb97af81c2f306564acc2da) isimli dokümanda bulunan ilgili makro kodu ve çözülmüş olan bir değer aşağıda yer almaktadır. İncelenen önemli rapor.doc (eb69fb45feb97af81c2f306564acc2da) isimli dokümanın çalıştırdığı makro kodunun sistem üzerinde 3 farklı dosya oluşturduğu tespit edilmiştir. Bunlardan; EventManager.logs isimli dosyanın bir INF dosyası, EventManager.dll isimli dosyanın JScript kodu bulunduran bir SCT dosyası ve WindowsDefenderService.ini isimli dosyanın içerisinde karmaşıklaştırılmış ve anlamsız olarak görünen karakterler bulunduran dosyalar olduğu belirlenmiştir. İncelenen bazı diğer zararlı dokümanların sistem üzerinde biri VBScript diğeri Powershell script dosyası olmak üzere iki adet dosya oluşturulduğu belirlenmiştir. 34
önemli rapor.doc (eb69fb45feb97af81c2f306564acc2da) isimli dokümandaki makronun devamında ise StdRegProv WMI objesinin SetExpandedStringValue fonksiyonunu kullanarak kayıt defterinde "HKCU:SOFTWARE\Microsoft\Windows\CurrentVersion\Run alt anahtarına EventManager.logs adıyla daha önce oluşturulan INF dosyasını çalıştıran komutunu eklediği görülmüştür. İncelenen zararlı Office dokümanlarının bazılarında yine aynı yöntemle ve aynı anahtara başka bir isimle değer eklendiği; bazılarında ise kayıt defterinde değişiklik yapılmak yerine, doğrudan komut çalıştırma yoluna gidildiği tespit edilmiştir. önemli rapor.doc (eb69fb45feb97af81c2f306564acc2da) isimli dokümanda bulunan ve kayıt defteri değişikliğini yapan kod aşağıda yer almaktadır. 35
İncelenen zararlı dokümanlar arasındaki Onemli Rapor.doc (0bf52163f51e0fd59bc0676126ecaffe) isimli dosyanın diğerlerinden farklı olarak, kayıt defteri üzerinde değişiklik yapmak için kullanılan StdRegProv WMI objesinin de doğrudan açık metin (cleartext) olarak saklanması yerine XOR işlemleri ile oluşturulduğu görülmüştür. önemli rapor.doc (eb69fb45feb97af81c2f306564acc2da) isimli dokümanın kayıt defteri üzerinde değişiklik yaparak çalıştırdığı INF dosyası incelendiğinde, INF dosyasının ardından daha önceden sistem üzerinde oluşturulmuş olan SCT dosyasının çalıştırıldığı belirlenmiştir. 36
Çalıştırılan SCT dosyasının içerisinde bulunan JScript kodu analiz edildiğinde ise daha önce kaydedilen ve içinde anlamsız karakterler yer alan dosyayı özel bir algoritma ile şifre çözme işlemine tabi tutan ve daha sonra oluşan kodun tersini alarak çalıştıran Powershell kodlarının olduğu saptanmıştır. önemli rapor.doc (eb69fb45feb97af81c2f306564acc2da) isimli dokümanın oluşturduğu JScript kodunun çalıştırdığı Powershell kodları aşağıdaki resimde gösterilmiştir. Karmaşıklaştırılmış ve anlamsız olarak görünen WindowsDefenderService.ini isimli dosyanın çözüldükten sonra yeni bir Powershell kodunun ortaya çıktığı belirlenmiştir. Bu Powershell kodunun önce Base64 kod çözme, daha sonra sıkıştırılmış metni çözme işlemleri yaptığı görülmüştür. Bu işlemlerin sonrasında ise yeni bir Powershell scripti oluşturduğu belirlenmiştir. En son olarak elde edilen bu Powershell kodları incelendiğinde kodun karakteristiği gereği Invoke-Obfuscation aracı ile karmaşıklaştırıldığı belirlenmiştir. Zararlı Office dokümanlarından bazılarında ise analizi zorlaştırmak için Powershell scriptinin tek bir dosya içerisinde 3 parça halinde bulunduğu görülmüştür. önemli rapor.doc (eb69fb45feb97af81c2f306564acc2da) isimli dokümana ait olan karmaşıklaştırılmış Powershell kodları aşağıda yer almaktadır. 37
Karmaşıklaştırılmış olan Powershell kodları analiz edildiğinde önce ters çevrildiği (reverse) daha sonra yerine koyma (replace) işlemleri yapılarak karmaşıklığın giderildiği; sistem üzerinde komut çalıştırmaya izin veren, belirli aralıklarla ekran görüntüsünü ve sistem bilgilerini uzak sunucuya gönderen zararlı Powershell scriptinin çalıştırıldığı görülmüştür. Bazı zararlı Office dokümanlarında ise tespit edilmeyi zorlaştırmak adına bahsedilen karmaşıklık çözme işlemine ek olarak XOR işlemlerinin de kullanıldığı görülmüştür. önemli rapor.doc (eb69fb45feb97af81c2f306564acc2da) isimli dökümana ait karmaşıklığı çözülmüş Powershell kodları aşağıda yer almaktadır. 38
Onemli Rapor.doc (0bf52163f51e0fd59bc0676126ecaffe) isimli zararlı dokümanın daha önceki zararlı dokümanlardan farklı olarak, sistem bilgilerini topladığı esnada zararlıyı çalıştıran kullanıcının, bulaştığı bilgisayarda yönetici olup olmadığı belirlemeye çalışan bir kodun yer aldığı belirlenmiştir. 39
Onemli Rapor.doc (0bf52163f51e0fd59bc0676126ecaffe) isimli zararlı doküman ve Şikayetler ve eleştiriler.doc (5a42a712e3b3cfa1db32d9e3d832f8f1) isimli zararlı dokümanların uzak sunucuyla bağlantı kurduğu adreslerde çeşitli parametreler kullandığı görülmüştür. Bu parametreler incelendiğinde sistem bilgilerinin MD5 inin ele geçirilen sisteme ait id olduğu, adresteki type parametresine verilen info değeri ile uzak sunucuya ilk kaydın gerçekleştiği, rastgele üretilen 20 karakter uzunluğundaki yalnızca harflerden oluşan değer ile uzak sunucuya sistemin ayakta olduğuna dair sinyal gönderildiği, adresteki type parametresine verilen cmd değeri ile uzak sunucudan komutların alındığı ve komutlar çalıştıktan sonra yine adresteki type parametresine res değeri kullanılarak komutların çıktılarının uzak sunucuya iletildiği tespit edilmiştir. İncelenen Onemli Rapor.doc (0bf52163f51e0fd59bc0676126ecaffe) isimli zararlı doküman ve Şikayetler ve eleştiriler.doc (5a42a712e3b3cfa1db32d9e3d832f8f1) isimli zararlı dokümanda sabit olarak t parametresi ile 7d4580a3910c54d62b46f24c397c8d59 değerinin komuta kontrol sunucusuna gönderildiği tespit edilmiştir. Aşağıda ilk kayıt anında çalışan fonksiyona ait kodlar yer almaktadır. Sistem bilgileri gönderildikten sonra uzak sunucunun isteklere cevap verip vermediği kontrol edilmektedir. 40
Buna ek olarak Onemli Rapor.doc (0bf52163f51e0fd59bc0676126ecaffe) isimli zararlı dokümanda diğerlerinden farklı olarak kod içerisinde çağırılmamış olan ve {B8945C0B-CB16-DC6E-B1E5-8C19749A44CC} değerini üreten bir fonksiyon olduğu belirlenmiştir. Yine Onemli Rapor.doc (0bf52163f51e0fd59bc0676126ecaffe) isimli zararlı doküman ve Şikayetler ve eleştiriler.doc (5a42a712e3b3cfa1db32d9e3d832f8f1) isimli zararlı dokümanda diğer zararlı dokümanlarda olmayan cmd üzerinden komut çalıştırma, çalıştırılacak Powershell komutlarını base64 kodlanmış olarak alma, kendini güncelleyecek yeni bir Powershell scripti indirme ve çalıştırma gibi özelliklerin eklendiği belirlenmiştir. İndirilen bu Powershell scriptinin LSASS adıyla kaydedildiği ve şifreli olarak kaydedilen bu dosyanın şifre çözme işlemine tabi tutulduktan sonra çalıştırıldığı belirlenmiştir. Yukarıda yer alan kod blogundaki muddy ifadesi dikkat çekicidir. Muddywater adıyla anılan aktivite grubunun kullandığı zararlı kodlarda muddy ifadesini komuta kontrol sunucusu ile iletişimde bir komut olarak kullanması oldukça dikkate değerdir. İlgili bu bölümde Base64 hali yer alan komutun çözülmüş hali aşağıda yer almaktadır. Bu fonksiyon yardımıyla şifreli olarak indirilmiş olan LSASS dosyası çözülmektedir. 41
Onemli Rapor.doc (0bf52163f51e0fd59bc0676126ecaffe) isimli zararlı doküman ve Şikayetler ve eleştiriler.doc (5a42a712e3b3cfa1db32d9e3d832f8f1) isimli zararlı dokümanda, uzak sunucudan gelen komutların birden fazla çalışmasını önlemek amacıyla komut çalıştırıldıktan sonra beraberinde komuta kontrol sunucusundan gelen id değeri lid değişkeninde tutulmaktadır. Bu sayede eğer gelen komutun id değeri bir önceki komutun id değeri ile aynıysa komut çalıştırılmamaktadır. Onemli Rapor.doc (0bf52163f51e0fd59bc0676126ecaffe) isimli zararlı dokümanın, Şikayetler ve eleştiriler.doc (5a42a712e3b3cfa1db32d9e3d832f8f1) isimli zararlı dokümandan izler taşıdığı belirlenmiştir. Onemli Rapor.doc (0bf52163f51e0fd59bc0676126ecaffe) isimli zararlı dokümanda bütün zararlı faaliyetler (dosya isimleri, kayıt defteri anahtarları, zamanlanmış görevler) Outlook ismi ile yapılıyor olmasına rağmen, makro kodu içerisinde yer alan kodlarda başlangıç kayıt defteri anahtarını değiştirirken Şikayetler ve eleştiriler.doc (5a42a712e3b3cfa1db32d9e3d832f8f1) isimli zararlı dokümanda olduğu gibi Onedrives ismi kullanılmıştır. 42
Kalıcılık Gizlilik İncelenen dokümanlarda bulunan makrolar analiz edildiğinde bazılarında doğrudan makronun, bazılarında ise sistem üzerinde bırakılan Powershell Scriptinin HKCU:SOFTWARE\Microsoft\Windows\CurrentVersion\Run kayıt defteri anahtarına ve HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Run kayıt defteri anahtarına çeşitli isimlerde ekleme yaparak kalıcılığını sağlamaya çalıştığı belirlenmiştir. Uyuşturucu kaçakçılığı.doc (f2b5373f32a4b9b3d34701ff973ba69c) isimli zararlı dokümanda bulunan bir bölüm kod aşağıda yer almaktadır. Zararlının, Kayıt Defteri üzerindeki değişikliği ile sağlanan kalıcılığına ek olarak, başlangıçta çalışmak üzere ayarlanmış bir zamanlanmış görev eklediği belirlenmiştir. Eklenen bu zamanlanmış görev ile ilgili olarak IL-1801.doc (cc019683021a4ff05e84860b62676dc1) isimli doküman içerisinde yer alan kod bloğu aşağıda yer almaktadır. Bu kod bloğundan da görüleceği üzere, yanıltma amaçlı olarak yerleştirilmiş bazı Çince ifadeler kodların arasında yer almaktadır. Onemli Rapor.doc (0bf52163f51e0fd59bc0676126ecaffe) isimli zararlı doküman ve Şikayetler ve eleştiriler.doc (5a42a712e3b3cfa1db32d9e3d832f8f1) isimli zararlı dokümanda ise önceki zararlı dokümanlardan farklı olarak oturum açma anında değil de her gün 12:00 çalışmak üzere bir zamanlanmış görev eklendiği belirlenmiştir. Ek olarak sistem üzerinde çalıştırılan Powershell Scripti ayrıca Microsoft Office in sahip olduğu Korumalı Görünüm özelliklerinde değişiklik yaparak, güvensiz konumlardan gelen Office dökümanları için makro çalıştırmayı etkinleştirmekte ve makro uyarılarını kapatmaktadır. IL-1801.doc (cc019683021a4ff05e84860b62676dc1) isimli dokümanda bulunan ilgili kod bloğu aşağıda yer almaktadır. 43
44
Güvenlik Yazılımlarını Atlatma İncelenen zararlı dosyalar hem makro kodlarında hem de sisteme bıraktığı dosyalarda çeşitli şifre çözme (decryption), kod çözme (decoding) ve karmaşıklık çözme (deobfuscation) işlemleri gerçekleştirmektedir. Kodu doğrudan çalıştırmak yerine bu şekilde bir takım işlemlerden geçirerek hem güvenlik yazılımlarını ya da tespit mekanizmalarını atlatabilmeyi hem de analiz edilmesini zorlaştırmayı amaçlamaktadır. IL-1801.doc (cc019683021a4ff05e84860b62676dc1) isimli zararlı dökümanın içerisindeki karmaşıklaştırılmış kodlar arasında yer alan ve Base64 kod çözülme işleminden sonra sistem üzerinde zararlı dosyaların oluşturulmasını sağlayan kodların bir bölümü aşağıda yer almaktadır. Dosya sistemi üzerinde oluşturulan Powershell Scriptinin Invoke-Obfuscation aracıyla karmaşıklaştırıldığı ve bu dosyanın tersten okunarak çalıştırıldığı belirlenmiştir. 45
Ayrıca incelenen bazı zararlı dökümanlarda, sistem üzerine oluşturulan gerek VBScript gerekse Powershell dosyalarının XOR işlemlerine tabi tutulduğu tespit edilmiştir. MIT.doc (ffb8ea0347a3af3dd2ab1b4e5a1be18a) isimli zararlı örneğin içerisinde yer alan kodların XOR işleminden öncesi ve sonrası aşağıda yer almaktadır. İncelenen zararlı Office dökümanlarının bazılarında ise kendine özgü bir şifre çözme fonksiyonu kullanıldığı tespit edilmiştir. önemli rapor.doc (eb69fb45feb97af81c2f306564acc2da) isimli zararlı dokümanın sistem üzerinde oluşturmuş olduğu JScript kodu çalıştıktan sonra yeni bir Powershell kodu üretmekte ve bunu çalıştırmaktadır. İlgili Powershell komutuna ait ekran görüntüsü aşağıda sunulmuştur. 46
İncelenen bazı zararlı dökümanlarda ise çalıştırılacak kodun karmaşıklaştırılması ve bu karmaşıklığın çözülmesi amacıyla VBScript içerisinde bulunan eval fonksiyonundan yararlanılmıştır. IL-1801.doc (cc019683021a4ff05e84860b62676dc1) isimli örnekte bulunan ilgili kodlar ve bu kodların çözülmüş hali aşağıda yer almaktadır. İncelenen zararlı dökümanların bazılarında ise sistem üzerine oluşturulan VBScript dosyası içeriğinde, güvenlik yazılımlarını atlatmak amacıyla, Microsoft un geliştirmiş olduğu prndrvr.vbs ve prnqctl.vbs kodlarının yer aldığı ve bunların içerisine gömülmüş zararlı kodlar barındırdığı belirlenmiştir. Bu sayede bazı durumlarda güvenlik yazılımları oluşturulan VBScript dosyasını zararsız olarak görebilmektedir. MIT.doc (ffb8ea0347a3af3dd2ab1b4e5a1be18a) isimli zararlı dokümanda yer alan ilgili bazı kısımlar aşağıda gösterilmiştir. 47
Yukarıda yer alan resimde görülen kodlar arasında bulunan NVDIF isimli şifre çözme fonksiyonu önemli rapor.doc (eb69fb45feb97af81c2f306564acc2da) isimli zararlı dökümanda bulunan şifre çözme fonksiyonuyla benzerlik göstermektedir. İncelenen zararlı Office dökümanlarından bazılarında yer alan Powershell scriptinin, C:\ProgramData klasörü altındaki klasörleri tarayarak, sistemde yer alan güvenlik yazılımlarını kontrol ettiği ve önceden belirlenmiş güvenlik yazılımlarının sistemde yer alması durumunda uzak sunucuya ekran görüntüsü gönderme işlemlerini gerçekleştirmediği tespit edilmiştir. Gizli Koşullar.doc (f00fd318bf58586c29ab970132d1fd2a) isimli zararlı dokümanda bulunan ve güvenlik yazılımlarının kontrol edildiği fonksiyon aşağıda yer almaktadır. 48
Anti Analiz Teknikleri Zararlı dokümanların sistem üzerinde oluşturduğu Powershell scripti incelendiğinde anti analiz özelliklerine sahip olduğu belirlenmiştir. ps komutu ile Powershell scriptin çalıştığı sistemde çalışan diğer uygulamalar kontrol edilmekte ve daha önceden belirlenmiş programlardan herhangi biri çalışıyorsa, zararlı yazılım sistemi kapatmaktadır. IL-1801.doc (cc019683021a4ff05e84860b62676dc1) isimli örnekte bulunan Powershell kodundaki ilgili bölüm aşağıda gösterilmiştir. İncelenen bu zararlı Office dokümanlarının bazılarında ise kontrol edilen uygulama isimleri açık metin olarak tutulmak yerine kendine özgü hash fonksiyonuyla hashlenerek tutulmuştur. Bu tarz bir fonksiyon barındıran Uyuşturucu kaçakçılığı.doc (f2b5373f32a4b9b3d34701ff973ba69c) isimli örnekteki ilgili kodlar aşağıda yer almaktadır. Ayrıca Win32_Process WMI sınıfını kullanarak, eğer zararlı kod powershell.exe, cmd.exe veya powershell_ise.exe üzerinden çalıştırıldıysa önce kendini sonlandırmakta ve ardından sistemi kapatmaktadır. Kendini sonlandırma fonksiyonunun C# kodu olarak yazılmış ve script içerisinde derlenerek çalıştırıldığı belirlenmiştir. İncelenen bazı zararlı dökümanlarda kendini sonlandırma özelliği anti analiz fonksiyonuna da dahil edilmiştir. Gizli Koşullar.doc (f00fd318bf58586c29ab970132d1fd2a) isimli zararlı dokümanda kontrol işlemini yapan Powershell kodu ve kendini sonlandırma fonksiyonu aşağıda yer almaktadır. 49
50
Bilgi Toplama ve Uzaktan Kod Çalıştırma Yapılan incelemeler sonunda zararlı dokümanların sisteme bıraktığı Powershell scriptinin; sistemden IP, ülke, işletim sistemi, mimari, domain, bilgisayar adı ve kullanıcı adı gibi bilgileri topladığı belirlenmiştir. Bu bilgileri toplamak için Get-WmiObject fonksiyonunu kullanarak WMI sınıfının ilgili nesnelerini çağırmaktadır. önemli rapor.doc (eb69fb45feb97af81c2f306564acc2da) isimli örnekte bulunan bilgi toplama fonksiyonlarının bir kısmı aşağıda gösterilmiştir. 51
Ayrıca Windows.Form altında bulunan SystemInformation sınıfı ve Drawing altında bulunan Bitmap sınıfı ile ekran görüntüsü aldığı ve bu ekran görüntüsünü incelenen farklı zararlı dokümanlarda farklı konumlarda olmak kaydıyla C:\ProgramData\WindowsNT, C:\ProgramData ya da C:\ProgramData\ZIPSDK konumlarına kaydettiği tespit edilmiştir. IL-1801.doc (cc019683021a4ff05e84860b62676dc1) isimli örnekte bulunan ekran görüntüsü alma fonksiyonu aşağıda yer almaktadır. Buna ek olarak incelenen bazı örneklerde Microsoft Excel üzerinden DDE methodunu kullanarak ekran görüntüsü alındığı belirlenmiştir. Bu yöntemi kullanan önemli rapor.doc (eb69fb45feb97af81c2f306564acc2da) isimli zararlı dokümanın C:\ProgramData dizini altına icon.png adıyla bu ekran görüntüsünü kaydettiği belirlenmiştir. Bu ekran görüntüsü alma işlemi ile ilgili kod bloğu aşağıda yer almaktadır. 52
Daha sonra toplanan bu bilgilerin ve ekran görüntüsünün uzak sunucuya WebRequest sınıfı kullanılarak gönderildiği belirlenmiştir. IL-1801.doc (cc019683021a4ff05e84860b62676dc1) isimli zararlı dokümandaki bu bilgilerin gönderilmesini sağlayan fonksiyona ait ekran görüntüsü aşağıda yer almaktadır. 53
Ayrıca Powershell scripti uzak sunucuya belli aralıklarla istek göndererek uzak sunucudan komut beklemekte ve gelen komutları doğrudan Powershell üzerinden, Windows un DDE (Dynamic Data Exchange) özelliğini kullanarak Excel ya da Outlook üzerinden veya Windows uygulamaların sahip olduğu COM Server özelliğini kullanarak ShellWindows üzerinden çalıştırdığı tespit edilmiştir. Türkiye Cumhuriyeti Kimlik Kartı.doc (f84914c30ae4e6b9b1f23d5c01e001ed) isimli örnekte bulunan komut çalıştırmayla ilgili Powershell kodları aşağıda yer almaktadır. 54
Ayrıca komuta kontrol sunucusu üzerinden gelen komutlara bağlı olarak uzaktan sistemin kapatılabildiği, yeniden başlatabildiği veya sistemde bulunan C, D, E, F disklerindeki verilerin silinebildiği belirlenmiştir. IL-1801.doc (cc019683021a4ff05e84860b62676dc1) isimli zararlı dokümandaki ilgili fonksiyon aşağıda yer almaktadır. Yapılan incelemeler sonucunda zararlı kodun uzak sunucuya doğrudan bağlanmak yerine daha önceden ele geçirilmiş web sitelerini proxy olarak kullandığı tespit edilmiştir. Bu web sitelerinin bilgisi önce secretkey anahtarı kullanılarak XOR işleminden geçirilmiş ardından base64 ile kodlanarak C# sınıfı içerisinde tutulmuştur. Raporun Indicators of Compromise başlığı altında bu adresler yer almaktadır. önemli rapor.doc (eb69fb45feb97af81c2f306564acc2da) isimli zararlı dokümanın oluşturduğu Powershell scriptindeki C# sınıfı ve bunun çözülmesi işlemini yapan fonksiyon resimde gösterilmiştir. 55
56
Kontrol Edilen Güvenlik Yazılımları Ek-1 Anti-Analiz Kontrolleri Kasper Panda ESET Symantec McAfee Kontrol Edilen Uygulamalar win32_remote win64_remote64 ollydbg ProcessHacker Tcpview Autoruns Autorunsc filemon procmon regmon procexp idaq idaq64 ImmunityDebugger Wireshark dumpcap HookExplorer ImportREC PETools LordPE SysInspector proc_analyzer sysanalyzer sniff_hit windbg joeboxcontrol joeboxserver 57
Ek-2 Indicators of Compromise Dosyalar C:\ProgramData\WindowsNT\WindowsNT.vbs C:\ProgramData\WindowsNT\WindowsNT.ini C:\ProgramData\ WindowsDefenderService.ini C:\ProgramData\EventManager.dll C:\ProgramData\EventManager.logs C:\ProgramData\WindowsDefender.ini C:\ProgramData\Defender.sct C:\ProgramData\DefenderService.inf C:\ProgramData\ZIPSDK\InstallConfNT.vbs C:\ProgramData\ZIPSDK\ProjectConfManagerNT.ini C:\ProgramData\a.ps1 C:\ProgramData\icon.png C:\ProgramData\Outlook.dll C:\ProgramData\Outlook.html C:\ProgramData\Outlook.ini C:\ProgramData\OneDrive.dll C:\ProgramData\OneDrive.html C:\ProgramData\OneDrive.ini C:\ProgramData\LSASS C:\ProgramData\TM01-<MD5> Kayıt Defteri Anahtarları HKCU:Software\Microsoft\Windows\CurrentVersion\Run\DifenderUpdate HKLM:Software\Microsoft\Windows\CurrentVersion\Run\DifenderUpdate HKCU:Software\Microsoft\Windows\CurrentVersion\Run\WindowsDefenderUpdater HKCU:\Software\Microsoft\Office\*.0\*\Security\AccessVBOM HKCU:\Software\Microsoft\Office\*.0\*\Security\VBAWarnings HKCU:\Software\Microsoft\Office\*.0\word\Security\ProtectedView\DisableAttachementsInPV HKCU:\Software\Microsoft\Office\*.0\word\Security\ProtectedView\DisableInternetFilesInPV HKCU:\Software\Microsoft\Office\*.0\word\Security\ProtectedView\DisableUnsafeLocationsInPV HKCU:Software\Microsoft\Windows\CurrentVersion\Run\<Computer_UUID> HKLM:Software\Microsoft\Windows\CurrentVersion\Run\<Computer_UUID> HKCU:\Software\Microsoft\Office\*\Excel\Resiliency\DisabledItems (Siliniyor) HKCU:\Software\Microsoft\Office\*\Word\Resiliency\DisabledItems (Siliniyor) HKCU:Software\Microsoft\Windows\CurrentVersion\Run\MalwareDefenderSDK HKLM:Software\Microsoft\Windows\CurrentVersion\Run\MalwareDefenderSDK HKCU:SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OneDrives HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OneDrives HKCU:SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Outlook HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Outlook Zamanlanmış Görevler Microsoft WindowsDifenderUpdate : OnLogon Microsoft WindowsDefenderUpdater : OnLogon Microsoft WindowsMalwareDefenderSDK : OnLogon MicrosoftOutlook : Her gün/12.00 MicrosoftOneDrive: Her gün/12.00 Hashler f84914c30ae4e6b9b1f23d5c01e001ed cc019683021a4ff05e84860b62676dc1 f2b5373f32a4b9b3d34701ff973ba69c 781bbdb421a473206fc37919f28a27db 3c2a0d6d0ecf06f1be9ad411d06f7ba8 aa564e207926d06b8a59ba50ca2c543d faa4469d5cd90623312c86d651f2d930 58
59 bc81f3560b2c8c8db588187ecaac5e98 eb69fb45feb97af81c2f306564acc2da ff46053ad16728062c6e7235bc7e8deb b8939fa58fad8aa1ec271f6dae0b7255 5a42a712e3b3cfa1db32d9e3d832f8f1 f00fd318bf58586c29ab970132d1fd2a 0bf52163f51e0fd59bc0676126ecaffe e87ea47e91540700b31082515d2dc802 ffb8ea0347a3af3dd2ab1b4e5a1be18a 19c28fc2a8ac8a9a9032603d816b3076 ce815f494f3d89bc3a63d28280bd5941 091b911a4122029b8ae9dc0fd942466d 161c4a04ff1d64e750babcd6ead676e6 1def9f57402f69089f31357e578ef394 6f1e84905f8d15269892026c0ab8d9a7 5a5b32e1ea053d5f76065cabe7e46851 b96a0a71566a766589ba3c891f86ca3f f2a4a3de6d1099cb87d37d72ceab9da8 ddb623f5ccf0f6f3d206520b91a0719e e8c16e728dd53199973f5c8927cfb122 3827586bad0f447068b3cddd16a39c55 7d2e5f4a8164be8d24191d05cab213df 70778b9ccae739972b359f021707ec18 321d62fa4a7eaa8d19c3275d6775f55d e930c926d469f1386943d93f3951a3c4 cabdb258b73c0a6af3e667cb43dbe1b4 2c4c077dda1b23036055ae6c8f463b30 a5adff9b9fd666b4ed5f3410002644ca 81e18d2af1f4281902dd52c52a93a3c7 67c2ccb58bb48560f01b83a9eedfa853 87938e32fa9f1fc78c44bdc820b9af9b 36384668eb28b8a23303eb09924a43ee 9964b6cfa078e8665658054f61a7f70a bde5a60a53bb00e5ccc03bf0f446d8df 8a0beb20369fed21bef7b910663af960 78ba7c54d0ee1009ea8fdf7a198ff3a2b0a7a4f7 2062978f17547adada1bc2620e087db0bd216ec8 36b2a003df195e2d640412a5791b631037e04e4b d85b45996684e12dabcedcd03a5c8e0bdd6f1935 6123f7da1f716bbb9e0a8e76255ee6a68c6c9cf7 7b5000cbc07308f030f8bedba6620d767a0504b5 07704be3cb7c7dd6cfb987ded284960f721074fd b068ef975c6bbd8e4e7fe07ccc8602b0f7385269 6059e4d34dee97e6f63be8cb9467327ceb7c7f90 a62b4ecfd5929769e5aeaef9785efce1d4919465 0336503957730b0669a4575fa64b9c4d9d25f240 a6f51730ee561e3395220b2dd26b927d1de4680d 6f5f226c071f97ac46c0b4f4d390fcce3f40b860 e8bd0e1b7d546c18b03bc47acfadfe69dfaf1497 18d3cbaba1ee96408ff2f2b36ad9d1bca6d90156 99d3597fea978d3d8ea6ad1e5727d581ec409c1a ac16875cc18f6c21b5be29d822b66cb16763b5e6 f8a5560ecc1a0c992c75935b3fdcb7a245cde37b 4b441e6023bade8682333793d535ed05e4a5a082 3d106301546c460160b46493ad16e07060051179 791c692ef420186a8e1ea38e77c818f4103a2272 df65104c4b32b4b40ccb2adebfd56ec3758c2c23 3b7f648dea89da480ca3c88a4b3013a1f673cd87 01f9e0ab1c235bf14f238f8ddc8a2d63be620927 ef03240fe7b5474c476fbf5d4a8c7687f562cfe8 281a4bfc3347408332543e5ffebcfb124a27d2eb f133f35dc4713a4cc9ffee047208af6f60cb9bb6 59828422de4960c3230d20cad51d3aaba56e92c1 e740d785355edaaf23d7d030fe5bd6e3ef034e38 63722b8ef0d6034cfbfb7fa0217e007988d3f2f3 8cf80b447ed027b3a1e3e061727aadc13312282c ea43252903c0fae08d890ada0809a2c2941f4099
60 f3fe949d612e9263d2f396a3266de1275df8a372 944dbc6bd531d228b09c985604272ffdc2357a7e ace8bb1dce4bb493c43f619a23760d7c966ac3bd 7b8fc3d5e9903a973fb09dc051854be899ca6370 b81f7189ca6ab2361f77b9ed894add55f3cf0ec8 e76dbfa21b519710c0d08f7e4d86f5607f5eecb9 48683d3c53679ef82248ce2e4d047c7cf2c7e792 7d7cb4ac66d3bcd023c44b8bd2bb43a7d7729444 60da9f17206e9e786b240e71d43abaed0ed85ad4 9a4e75054a382aea2ddb225ef3c5cd6a5dba2ab1 18479a93fc2d5acd7d71d596f27a5834b2b236b44219bb08f6ca06cf760b74f6 1ee9649a2f9b2c8e0df318519e2f8b4641fd790a118445d7a0c0b3c02b1ba942 2a49d29d58d4d962bee5430e40f488bb79ebab92cf13db5bb4708f3eaf95caed 366d8b84a43a528e6aaf9ecfc38980b148f983967803914471ccf011b9bb0832 38556ba0b512636006c00b51f24ac92755bd1f1b21b4ae1812abf6bf9543221e 3eb27ecfbe5381b9cf4dcba2486e9773d9893b92c95032be784e0d2198740539 41a32a19c78a542ab4d0701c31d9ef6c7f019c9bc604ab9415f4790b7ac6c591 44b200f2322f155feff1e97ff04a468a8a55b66bb4d9c04ec7ce3ee9faa9b60f 6a68e8b12960257621cb89f979c1fbbd0f13c2338fad0f64e133deb95c99b2f9 6edc067fc2301d7a972a654b3a07398d9c8cbe7bb38d1165b80ba4a13805e5ac 76e9988dad0278998861717c774227bf94112db548946ef617bfaa262cb5e338 b9c70adbc731b1b2779ab35bb0fab29ae703e2a4a7214c5e2749b02daf326a9b bbcafdb4fd7bf107d8b85934286d531536b7a0a30e5eeed07e27f0f7afcf8a77 ceb89c23b1a1492f0c751270fc2067b7cfe526d7e1ff60392a61f70b67460c57 cee801b7a901eb69cd166325ed3770daffcd9edd8113a961a94c8b9ddf318c88 fbbda9d8d9bcaaf9a7af84d08af3f5140f5f75778461e48253dc761cc9dc027c 288afbe21d69e79a1cff44e2db7f491af10381bcc54436a8f900bcbd2a752a6f 5e173fbdcd672dade12a87eff0baf79ec4e80533e2b5f6cf1fac19ad847acba0 2791fdc54ee037589f951c718935397e43d5f3d5f8e078e8b1e81165a3aebbaf 916163f67757a51d26a0aa9106d9e5effc857f0a1b7c327d291e59074892a467 089b7587f8a9ae0e0885b501180f6c9d0ecaba581990e8f6e42121eeae2d1e7e b164dfd1939920b004359b531ef4ae518bc40fb41706c43040b4a18ee6023535 14aa1063a1f6ca89db77089a7aa5dc747851c7f12c1a826f587c98f1eb89e79e 77cf5a3ccee2b223574cf40f7c57ddb820d680b8350174e8f8406d2d39bfea25 4af928748469700d3f47ce45638ea504b12870d0942569e9ae916d17ff5dd4ad cddc636b02b03717bf55721f987406f2131950d9f957e67e4286da1c6c9f2f42 d3da6bbfe703de6a1669fbcca846eeb2c274e8583172dbaf357accc9a717bc45 c66c1c024bccb84df521e34311fdaa90e1c5d0c10074044228e7a637c53be366 854ee1ab88bf92c3cfd8891eb6a2942db454119dc870b1bfd684bd66a03e1a8f af2e69f49e41c602b8f92816ca41c98908db8454e2ca3885bbf8a5c5b1aab2c3 2652f3b5f2bd39b3d7aad36f43e1bdf1032bd5170e574eef134c59d26888222f 9ba989eb8405663fabf3a2512be01c335423f94a211a9662f283fa8baca50384 55ae821cf112ff8d6185ce021f777f73d85150c62a835bb1c02fe9e7b3f863bf c006911be5480f09e0d8560c167561f68681607ca8f7e3c4f5d476dc6673594f f66c8e72dfeeac394cabd3809193bbedefba87b8672e742edc886979e3b4f109 c35fafa3cbacceca9ae58162fdef72f5aa69fe328d92a469e107f7a34b5e503c 60db6e9174cec93e0c39a26313d48c5d0e68e6a72f1e440663e5a79f4e6cae19 95b46d92c28ada112b6774d652fff3b585ae0a023d82245f3c394cb9f2bda31b 0a9fc303ca03f4d9988a366cbbd96c24857e87374568ec5a4aaa4e55fe2c3c7e 59f9e0faa73e93537ae4bd3a8695874ba25b66cefa017537132914c770d0cf70 6228d79f56c574ceada16453404c54dd95641aa78d3faed6874daf485116793b 927e4083c8eac068a49c7008c03e56989549df7ed9c577a5a70372658111cf07
61 İletişim Kurulan Adresler hxxp://aandacompany.com/connection.php hxxp://ankara24saatacikcicekci.com/admin/connection.php hxxp://ankara24saatcicek.com/admin/controller/common/connection.php hxxp://ankara24saatcicek.net/admin/controller/play/connection.php hxxp://ankaraikincielesyalar.com/admin/_sayfalar/connection.php hxxp://ankarakiralikvinc.web.tr/wp-admin/connection.php hxxp://ankaramehteri.com/admin/_islemler/connection.php hxxp://ankaraotokurtarici.web.tr/wp-includes/connection.php hxxp://aazbs.com/wp-admin/includes/connection.php hxxp://ankaratemizlik.web.tr/include/connection.php hxxp://ankaratemizliksirketleri.web.tr/wp-includes/connection.php hxxp://www.aofdersleri.net/wp-admin/connection.php hxxp://www.aofdersleri.net/wp-content/themes/hueman/connection.php hxxp://apaktem.com/wp-admin/connection.php hxxp://aquamasaj.com/ozzzpanel/documentation/connection.php hxxp://aracexpress.com/wp-admin/connection.php hxxp://arasbg.com/yonetimpaneli/connection.php hxxp://ardatur.com/sayfalar/connection.php hxxp://ardvessels.com/online-catalog/connection.php hxxp://artikhazirsin.remingtonturkiye.com/erkek/wp-admin/sconnection.php hxxp://artistanbul.tv/wp-admin/connection.php hxxp://artistlogistics.net/wp-admin/connection.php hxxp://artistlogistics.net/wp-includes/connection.php hxxp://aslanmangalkomuru.com/panel/connection.php hxxp://aslanorganizasyon.com//fonts/icomoon/connection.php hxxp://aslimaj.com/wp-admin/connection.php hxxp://astra.com.tr/master/sass/vendor/bourbon/helpers/connection.php hxxp://asturkgrup.com/ar/cache/connection.php hxxp://asturkgrup.com/ar/yonetimpaneli/connection.php hxxp://asturkkimya.com/w3/fonksiyon/connection.php hxxp://asturkmadencilik.com/inc/connection.php hxxp://atakantarimci.com.tr/wp-admin/connection.php hxxp://ataklojistik.com/administrator/modules/mod_toolbar/connection.php hxxp://atamanelektronik.com/administrator/components/com_banners/connection.php hxxp://atamanelektronik.com/components/com_content/models/connection.php hxxp://atasehiryuzme.com/wp-admin/connection.php hxxp://atasehiryuzme.com/wp-includes/requests/connection.php hxxps://www.atayuzme.com.tr/deneme1/connection.php hxxp://atkiatkisi.net/panel/connection.php hxxp://atkiatkisiimalat.com//blog/wp-admin/connection.php hxxp://avrupabaski.com/yillik/cmsal2017/connection.php hxxp://avsserradecor.com/katalog/mobile/styles/connection.php hxxp://ayakkabisitesi.com/wp-admin/connection.php hxxp://aycinteker.com/wp-admin/connection.php hxxp://aydincaliskankanarya.com/wp-admin/connection.php hxxp://aydincaliskankanarya.com/wp-content/themes/twentyseventeen/connection.php hxxp://aydinsenturk.com/ozerkaya/connection.php hxxp://aygunotomasyon.com/administrator/components/com_languages/connection.php hxxp://aygunotomasyon.com/components/com_user/connection.php hxxp://aymuhendislik.com/wp-admin/connection.php hxxp://aymuhendislik.com/wp-includes/id3/connection.php hxxp://aysekaya.com.tr/wp-admin/connection.php hxxp://azermaral.com/wp-admin/connection.php hxxp://bahadirsahinoglu.com/wp-admin/connection.php hxxp://bahadirsahinoglu.com/wp-includes/connection.php hxxp://baharakgul.com/wp-admin/connection.php hxxp://balcidede.com.tr/admin/inc/connection.php hxxp://baldatca.com/admin/controller/extension/connection.php hxxp://baldatca.com/system/config/connection.php hxxp://baranakinturk.com.tr/wp-includes/id3/connection.php hxxp://baskale.bel.tr/admin/inc/connection.php hxxp://baskoyluhasanefendi.com/administrator/includes/connection.php hxxp://baspinarlartulumpeyniri.com/wp-admin/connection.php hxxp://bayrampasabocekilaclama.net/wp-content/plugins/google-sitemap-generator/connection.php hxxp://bebekyuzmekurslari.com/wp-admin/connection.php