Banka Domaini Taklit Edilerek Gönderilen Malware Analizi
Email ile zararlı url veya dosya gönderimi hala çok kullanılan yöntemler arasında bulunuyor. Bu yazımda bir bankanın domaini spoof edilerek gönderilen malware incelenecektir.
LinkedIn ve Twitter üzerinden bana ulaşabilirsiniz.
Öncelikle email spoofing nedir ? Aşağıdaki örnekte olduğu gibi bir domain taklit edilerek sahtecilikle karşı tarafa email gönderilmesidir.
SMTP protokolü tasarlanırken kimlik doğrulama veya güvenlik standartları düşünülmediği için kolaylıkla sahtecilik yöntemleri uygulanabiliyor.
SMTP ve Email ile ilgili 25 den fazla RFC dokümanı mevcut ama temeline inersek 1981 yılında yayınlanan RFC788 ve 2008 de yayınlanan RFC 5321 protokol ile ilgili çok kapsamlı bilgiler bulabileceğiniz dokümanlar.
Email spoofing ile ilgili çeşitli çözümler (DKIM, SPF, DMARC, DNSBLs vb ) geliştirilmiş bunları uygulayarak büyük ölçüde bu durum engellenebilir /korunabilir.
E-posta neden malware ve zararlı url yaymak için bu kadar popüler bir vektör? Çünkü suçluların bir insanı hileli bir dosyayı veya bir e-postadaki bağlantıyı tıklamaya ikna etmesi, güçlendirilmiş bir altyapıya girmeye zorlamaktan daha kolaydır. Ayrıca internete açık web server zafiyetlerinin tespit edilmesi exploitlerinin takip edilmesi ve bunun fırsat olarak çıkması ilgili kurumda bulunması vb nispeten daha zorlayıcı olmasından email kanalı hala en çok kullanılan vektörlerden olmaktadır.
Örnek email logu;
Basit anlamda sender ip ile domain kontrolü yapıldığında mx spf, spoof edildiği anlaşılır.
Örnek logda görüldüğü üzere Halk Bank spoof edilmiş.
Email loglarınızda kendi kurumunuzu bile çok rahat görebilirsiniz :) veya Türkiye’den herhangi bir kurumun spoof edilmiş halini. Servis sağlayıcılar operatörler bankalar vb
Eğer email engellenmiş ve kullanıcıya gitmemişse detaylı incelemeleriniz TTP / IoC çıkarmanız için cihazınızın önünden trafik alıp bunu farklı kaynaklara yönlendirmeniz gerekmektedir zeek security onion suricata vb.
Örnek gelen emaildeki zararlılardan birisi BANKASI.exe adlı dosya, virus totaldeki detayları aşağıdaki gibidir.
(Yukarıdaki details bölümleriyle ilgili daha önce yayınladığım Malware Hash- Fuzzy Hashing yazısını okuyabilirsiniz)
İlgili dosya agent tesla keylogger spyware ailesinden.
Agent Tesla, Microsoft’un .Net dilinde yazılmış bir spyware, keylogger ve bilgileri çalan Truva Atıdır. Agent Tesla, 2014'ten beri aktif. Ajan Tesla aynı zamanda resmi web sitesinde abonelik lisansı ile de satılmış olan ticari bir projedir. İlginç şekilde menşei Türkiye’dir :) detaylı yazı için >
Ekte gönderilen zararlı dosya analiz edildiğinde aşağıdaki process leri çalıştırır;
Bankasi.exe çalıştıktan sonra, kötü amaçlı yazılım aşağıdaki konumda kendisinin bir kopyasını oluşturur;
% APPDATA% \ winservie.exe
Çalıştırılan komut;
“C:\Windows\System32\cmd.exe” /c, “C:\Users\admin\AppData\Roaming\winservie.exe”
winservice registry de autorun değerini değiştirir;
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Bellekteki Agent Tesla Keylogger kodunu çözer ve InstallUtil.exe dosyasına enjekte eder.
Aşağıdaki örnekleri toplayıp C2 ya mail gönderir.
installutil.exe process i suricata IDS de 2839853 numaralı kurala çarpmıştır
2839853 - ETPRO TROJAN Win32/AgentTesla/OriginLogger Data Exfil via SMTP (trojan.rules)İlgili mail trafiği pcap analizinde tespit edilmiştir
Sender: HALK BANK <halkbank.e-ekstre@halkbank.com[.]tr> (Spoofed)
Sender IP: rrcs-108–178–83–59.sw.biz.rr[.]com (108.178.83[.]59)
Subject: T.HALK BANKASI A.S. 2.03.2020 Hesap Ekstresi
Attachment: HALK BANKASI.IMG -> BANKASI.exe
MD5: f9063c7ac31e3316ad913b5e53d9a11b -> f8bf1291d4e6a3dc1c4b500f009a58b7
File Name: BANKASI.exe
MD5: f8bf1291d4e6a3dc1c4b500f009a58b7
SHA-1: a0268e1b3444ce9780cad56ed583353c484405ac
SHA-256: 36829935f0b7f4cc2ff3971b30fed6d1bbd2af01f08fb15790d5242cd751011e
SSDeep: 6144:zTGTiQlbUZKs2Dipr6qzSwjTZjNpa8Y1LcRyblDLFF5yYrv8nFKYbv2/fmafw1:zaTiQlgcipjFRDa8YpVZl2+vmtIw1
Bir sonraki blog yazısında görüşmek üzere :)
