Savunma Sanayii Firmaları ve Finansal Kuruluşları Hedef Alan Zararlı İncelemesi

0
352

GIB şablonu kullanılarak savunma sanayii firmaları ve finansal kuruluşları hedef alan, zararlı içerik barındıran e-postalar gönderilmektedir.

1

Göndericinin “posta*@gelirler.gov.tr” olması, mail içeriğinin inandırıcılık açısından oldukça başarılı olması, düzgün bir Türkçe ile hazırlanması ve özellikle finansal kurumlarının haciz vb. konular ile alakalı GIB ile sıklıkla posta alışverişi gerçekleştirmesi saldırganlarının hedeflerine ulaşmakta zorlanmayacağını düşündürüyor.

E-posta’nın ekinde makro içeren bir Excel dosyası bulunuyor.

1. Mail Eklerinin İncelenmesi

Elimizdeki bulunan 4 farklı örneği incelediğimizde aşağıdaki gibi üç farklı isimlendirme kullanıldığını görüyoruz.

E-posta içeriklerinde de aşağıdaki gibi iki farklı şablon kullanılmış.

2 – Excel Şablonları
3- Excel Şablonları

İçerdikleri makroları incelediğimizde ortalama 1000 satırlık kod blokları bulunuyor. Tabii ki kodun büyük kısmı okunabilirliği azaltmak üzere bir birini çağıran ardışık fonksiyonlardan oluşuyor.

4- Obsfucated Code

Bu fonksiyonları takip ettiğimizde %TEMP% dizini altında “PWQOI.exe” isimli çalıştırılabilir dosya oluşturacak fonksiyonu çağırdığını görüyoruz.

Exe Create Fonksiyonu

Bu fonksiyonu takip ettiğimizde kodun geri kalan kısmını oluşturan decimal veriler içeren dizileri işlediğini gözlemliyoruz. Dizilerin başlangıç değerleri olan 77 90 ondalık değerleri onaltılık tabana çevirdiğimizde magic number dediğimiz 4D 5A, ASCII dizi olarak MZ’ye ulaşıyoruz. Bir dosyanın ASCII MZ dizisi ile başlaması o dosyanın bir .exe dosyası olduğunun göstergesidir.

6 – PE Header

2. Exe’nin oluşturulması ve incelenmesi

Makroyu çalıştırmadan zararlıyı elde edebilmek için öncelikle array’lerin içeriğindeki decimal veriyi HEX’e dönüştürüyoruz.

Decimal to HEX converter

Elde ettiğimiz veriyi Winhex yardımıyla exe uzantılı olarak kaydettiğimizde makro çalıştırmamız durumunda oluşacak olan 3kB’lık zararlıyı oluşturmuş olduk.

Winhex
Winhex

Zararlıyı Ollydbg yardımıyla debug ettiğimizde aşağıdaki görüldüğü gibi saldırının ikinci aşamasındaki zararlıyı indirmek için kullanacağı bağlantıyı (unifscon.com) görüyoruz. Diğer üç örnektede dosya isimleri değişse dahi domain değişmiyor.

Ollydbg
Ollydbg

3. RAT (Remote Access Trojan) incelenmesi

İlgili bağlantıda bulunan zararlıyı incelediğimizde komuta merkezi domaini (civita1.no-ip.biz) ve bağlandığı portu (TCP 8484) görüyoruz.

civita1.no-ip.biz
civita1.no-ip.biz

Diğer sample’ları da aynı şekilde inceldiğimizde farklı bir domain “komot1.punkdns.pw” ve farklı bir porta (TCP 7500) daha ulaşıyoruz.

komot1.punkdns.pw

İlgili  hash’leri araştırdığımızda REMCOS isimli bir rat ailesinden olduğunu görüyoruz.

https://otx.alienvault.com/pulse/5a67635e085e0702d4cb0b8b

Toparlayacak olursak;

  • Kullanıcıları etkileyebilmek için Gelirler İdaresi Başkanlığına ait bir şablon kullanılmış,
  • Mailin sender kısmı posta*@gelirler.gov.tr olarak belirlenmiş.
  • GIB SPF kaydı eksik olduğu için alıcı SPF kontrolü yapsa dahi DNS güvenliğine ait kontrolleri bypass edecekti.
  • Maillerin ekinde bulunan macro çalıştırıldığında 3kB’lık exe dosyası oluşturuyor ve çalıştırıldığında ikinci zararlıyı drop ediyor.

4. IOCs

TYPE INDICATOR
Hostname civita1.no-ip.biz
Hostname civita2.no-ip.biz
Hostname komot1.punkdns.pw
Hostname komot2.punkdns.pw
Hostname unifscon.com
SHA256 Hash b3f7c09a14f2a87d71ac6a12ad0e5b795ee2ef141c3c93b06846963695aebe8f
SHA256 Hash 6460cb027c968d415c483783f474e134282653146d06e146fd8928ad134c26df
SHA256 Hash 607c7c30233aae1cb45b9264adf3173f963e9944ef31901cfda235402b5d6149
SHA256 Hash e68c2a4e4087b96da665b44c514a32db2499723f4c07515af60f2ce772e7350d
SHA256 Hash fa27d7833b743d1960fdd51a5a250f6869835bb7560a4eb9d61f32d590c2ab60
SHA256 Hash 57e301f883f66fe337ec8d65783c0e92d9229e5795c1ddf4ffa107999561135f
IP 213.183.40.59

 

*RISKIQ

*AlienVault

First Sample that we analyzed on December 06, 2017 : https://app.any.run/tasks/d6b8f763-2190-4fd9-81f0-2dda1e3b8016

SHARE
Previous articleA Hacker Caught During Malware Analysis
Sr. Network & Security Engineer

LEAVE A REPLY