BadRabbit - NotPetya

NotPetya zararlı yazılımı ile aynı yazılımcılar tarafından geliştirildiği düşünülen BadRabbit, 24 Ekim 2017 tarihinde Ukrayna, Almanya, Türkiye ve Bulgaristan olmak üzere ağırlıklı olarak Doğu Avrupayı hedef almıştır. Fidye karşılığı olarak 0,05 Bitcoin talep edilmiştir. SMB'yi (Server Message Block) kullanarak ağ üzerinde yanal hareketlerle yayılmaktadır. NotPetya'dan ayıran en büyük özelliği ise ilk vektörün farklı olmasıdır. BadRabbit web sitesi üzerinden çalıştırılabilir dosya ile bulaşmaktadır.

BadRabbit Nasıl Bulaşır?

Zararlı yazılımın etkisi altında olan web siteleri tarafından normal bir güncelleme işlemi gibi kendini tanıtan BadRabbit, “Adobe Flash Güncelleme” isteği ile mağduru güncelleme yapmaya sevk eder. Mağdur kendi elleriyle güncelleme işlemi için güncelleme isteği üzerine tıklar ve indirme işlemini tamamalar. NotPetya direk sisteme bulaşır ancak BadRabbit, indirilen dosyayı çalıştırmaz ise herhangi bir aksiyon gerçekleştirmez.
"install_flash_player.exe" çalıştırılarak diski şifrelemek ve ağ üzerinde yanal hareketler gerçekleştirmek için beraberinde birden fazla zararlı dosyayı getirir.
  • install_flash_player.exe: İlk indirilen dosya ile diğer zararlı dosyalar gelir.
  • infpub.dat: DLL payloaparametrelerle çağrılan rundll32.exe ile çalıştırılır.
  • cscc.dat: DiskCryptor Sürücüsü (x64) zamanlanmış görev olarak çalıştırılır. 
  • dispci.exe: DiskCryptor istemcisi ile disk şifrelenir.
  • xxxx.tmp: Mimikatz (x64) yanal hareketler gerçekleştirmek için kullanılır.
  • xxxx.tmp: Mimikatz (x32) yanal hareketler gerçekleştirmek için kullanılır.

BadRabbit Nasıl İlerler ? 

  • "C:\install_flash_playe.exe" dosyası mağdur tarafından çalıştırılır. 
  • "C:\infpub.dat" dosyası  parametrelerle çağrılan "rundll32.exe" ile çalıştırılır. 
  • Zararlı yazılım bir yandan ağa bağlı olan cihazları tarar. Zararlı ile gelen Mimikatz yazılımı ile sık kullanılan kullanıcı adı  ve şifreler denenir.
  • "C:\dispxi.exe" ve "C:\cscc.dat"zamanlanmış görev yardımıyla çalıştırılır. NotPetya zararlı yazılımında kullanıldığı gibi "DiskCryptor" ile mağdurun diski şifrelenir. 

Fidye Notu
  • NotPetya gibi BadRabbit, sistemin yeniden başlatılması için zamanlanmış bir görev ekler.
  • Saldırı tamamlandıktan sonra sistem yeniden başlatılır ve açılış ekranı görülür.



  • NotPetya zararlısının gösterdiği ekran ile benzerliği fark ediliyor. 
  • Fidye notlarının ardından, kurbanın dosyaları kurtarabilmesi için alması gereken iki şifreleme anahtarı olduğunu görülür. İlk kilidin açılması ile ikinci kilit kullanılarak dosyalardaki şifre kırılır.
  • Mağdurlar “caforssztxqzf2nm.onion“ web sitesi üzerinden yönlendirilmektedir. (Güvenlik ve kullanım kolaylığı sebebi ile mail adresleri kullanılmamıştır.)


Sonuç

Badrabbit kodu, Petya/NotPetya kodu ile yüksek oranda benzerlik göstermektedir. Aynı yazılımcılar tarafından geliştirildiği tahmin edilmektedir. Bad Rabbit, NotPetya'ya kıyasla çok daha eksiksiz ve işlevsel bir fidye yazılımıdır. Şifre çözme anahtarlarını ve ödeme bilgilerini sağlamak için TOR kullanarak işlevsel bir fidye yazılımı gibi görünmektedir.

BadRabbit sonucunda önlem alınması gereken noktalar: 

  1. Sistem güncellemeleri açık ve son güncellemeler yüklenmiş olmalıdır. Gözden kaçma durumu ile karşılaşmamak için korelasyon kuralları ile kontrol altına alınmalıdır.
  2. C:\ dizini altındaki dosyalar kontrol edilir. C:\windows\infpub.dat altında                C:\windows\cscc.dat  dosyları yoksa eklenir ve kullanıcı yetkileri kaldırılır.  C:\windows\infpub.dat && C:\windows\cscc.dat  dosyları varsa kullanıcı yetkileri kaldırılarak çalıştırılamaz hale getirilmelidir.
  3. SMB servisi kapatılmalı. (WannaCry, NotPetya ve BadRabbit gibi zararlılarda da kullanıldığı için çok tehlikelidir.) Korelasyon  ve gerekli alarmlar ile servis kontrolleri takip altına alınmalı.
  4. Mimikatz kullanımına izin verilmemelidir.
  5. Kullanıcı yetkileri belirli periyotlarla gözden geçirilmelidir.
  6. Herhangi bir sözlük kullanımı ile kullanıcı adı ve şifresi tahmin edilememelidir. 
  7. Admin yetkileri kontrol edilmeli paylaşılamaz durumuna getirilmeli. (kullanıcı adı admin olmamalı)
  8. Zamanlanmış görevler ve servisler takip edilmelidir. Zararlı yazılımların arka planda zamanlanmış görev oluşturulmasına izin verilmemelidir.
  9. Mümkün olduğu kadar WMI veya RDP devre dışı bırakılmalıdır. Korelasyon ile servis kontrolü sağlanmalıdır.
  10. Zararlı yazılımların Türkiye’de hangi sitelerden yayınlandığı takip edilmelidir. Bunlardan bazıları hxxp://www.sinematurk[.]com, hxxp://ucarsoft[.]com, hxxp://tweetlerim[.]gen.tr, hxxp://sarktur[.]com gibi sitelerdir. 
Crypttech Siber İstihbaratı'ndan yararlanarak saldırılara karşı bir adım önde başlayın.


Kaynakça

  • https://blog.malwarebytes.com/threat-analysis/2017/10/badrabbit-closer-look-new-version-petyanotpetya/
  • https://www.endgame.com/blog/technical-blog/badrabbit-technical-analysis
  • https://blogs.forcepoint.com/security-labs/notnotpetya-bad-rabbit

M. Büşra ÖZTÜRK
Yazılım Destek Mühendisi

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

1. Geleneksel Stajyer CTF Soru ve Cevapları

Resim
İlkini 26 Mayıs - 1 Haziran 2016 tarihleri arasında gerçekleştirmiş olduğumuz ve bundan sonraki stajyer alım süreçlerinde de devamlı gerçekleştirmeyi düşündüğümüz CTF (Capture The Flag) yarışmamızda sorulan sorular ve çözümleri için izlenebilecek adımlar aşağıda verilmiştir. 1. Verilen soruda "Her görünenin ardında gizli bir şeyler vardır." ile olayın sadece bir resimden ibaret olmadığı ve bir şeylerin gizlendiği/gizlenebileceği anlatılmaya çalışılmıştır. Burada da ilk olarak data gizleme/saklama bilimi olan Steganografi'nin akıllara gelmesi gerekmekteydi. Steganografi ile ilgili ayrıntılı bilgi için bkz . Resim dosyalarına farklı yöntemler ile data saklanabilmektedir. Popüler olarak kullanılan Steghide aracıyla, graph-theoretic yaklaşımıyla veri saklama işlemi yapılabilir. Soruda verilen resim aşağıdaki gibidir. Steghide ile resim içerisindeki datayı çıkartmayı denediğimiz zaman parola soracaktır. Brute force ile doğru parolayı bulmanız gerekmekte,
Devamını okuyun

B*-Tree (BTree, BPlusTree) Veri Yapısı ile Veri İndeksleme

Resim
Veri indeksleme Veri asıl kaynağına yazılırken bir format takip edilir. Bu formata göre, bazı sorgulamaların yapılması çok zaman almaktadır. Bazen tüm verinin taranması gerekebilir. Veriye erişimi hızlandırmak için, asıl veriye ek olarak, farklı biçimlerde tekrar bilgi yazılması gerekmektedir. Farklı biçimlerde verinin tekrar yazılması işlemi "indeksleme" olarak adlandırılmaktadır. İndeksleme yaklaşımında, indekslenecek anahtar veri ve asıl veriye referans bulunmaktadır. ( <Key,Pointer> ) Asıl veri değiştiğinde, indeks verilerinin de güncellenmesi gerekir. Bu yazımızda; önemli indeksleme tekniklerinden olan BTree ve BPlusTree veri yapılarının özellikleri hakkında bilgi verilecektir. BPlusTree, ilişkisel veritabanlarında en çok kullanılan ağaç veri yapısıdır. BTree Veri yapısı BTree, ağaç şeklinde dinamik bir veri yapısıdır. Nodlar ve nod içindeki sıralı elemanlardan oluşur. Kök noddan başlayarak; her bir elemanın küçük değerleri, sola doğru, büyük değerleri is
Devamını okuyun

2. Geleneksel Stajyer CTF Soru ve Cevapları - 2017

Resim
2. si düzenlenen CRYPTTECH Stajyer CTF'inde sorulan soruların çözümlerinden önce yarışma içeriğine dair birkaç istatistik ile başlangıcı yapalım. CTF ‘17’de sorduğumuz soruların genel görüntüsü aşağıdaki gibidir. Flag formatıyla beraber toplamda 16 soru sorulmuştur. 75 kayıtlı kullanıcının olduğu CTF’te aktif 42 katılım olmuştur. Sorulara göz attıktan sonra korkup kaçanların sayısını bilemiyoruz. 2000 ’e yakın cevabın girildiği sistemde; 213 doğru cevap, 1682 yanlış cevap girilmiştir.   Sorulara verilen cevapların dağılımı aşağıdaki gibi olmuştur; CEVAPLAR Soru 1: Başlangıç olarak sonraki sorularda verilecek cevapların formatının nasıl olması gerektiğini belirten format üzerine kurulu bir sorumuz vardı; Bu soruya inatla yanlış cevaplar veren ve cevap soruda yazmasına rağmen ipucu isteyip 7 puanını kaptıran arkadaşlara selam olsun. Cevap 1: CT_{flag} Soru 2: Sorudan anlaşılması beklenen, verilen klasördeki 66 resim içerisinden aynı hash (heş) değerine s
Devamını okuyun