Kovter Zararlı Yazılımı ve Uygulanabilecek SIEM Kuralları


Giriş

Kovter kötü amaçlı yazılım ailelerinden biridir. Zaman içerisinde kullandığı yöntemlerde kapsamlı değişiklikler yaptı. Tespiti ve analizi zorlaştırmak için PowerShell scriptlerinde ve kayıt defteri anahtarlarındaki zararlı modülleri gizler. Bu yazımda kovter zararlısının bir örneğini incelemeye çalışacağım. Takip eden bölümlerde zararlı hakkında genel bir bilgi, zararlının sistemlere nasıl bulaştığı, bulaştığı sistemlerde çalıştıktan sonra hangi davranışları gösterdiği, hangi adreslerle bağlantı kurduğu ve tespiti için yazılabilecek kurallardan  bahsedeceğim.Çayınızı da aldıysanız artık başlayabiliriz:)


Fidye yazılımları  son zamanlarda siber suçluların para kazanma yollarından biri haline geldi. Kovter olarak bilinen kötü amaçlı yazılım da bu fidye yazılımlarından biridir. Kovter fidye yazılımı günde yaklaşık 44.000 cihaza zarar vermekte ve başarılı saldırı başına 1000 dolar kazanmaktadır[1].Bir çok zararlı yazılım gibi ömrü boyunca ceşitli mutasyonlara uğramıştır



Bu zaralı yazılımın ilk varyasyonu hedef sisteme bulaştığında kullanıcının yasa dışı dosyalar indirmesini bekleyerek kullanıcaya fidye talebinde bulunmaktadır. Kolaylıkla tespit edilip kaldırılabildiği için bir sonraki varyasyona evrilmesi kaçınılmaz bir hal aldı. Ikinci versiyonu ise bir tıklama sahtekarlığını hedef almaktadır. Bulaştığı sistemlerde kod enjekte ederek topladı bilgileri Komuta kontrol sunucusuna göndermektedir. Son versiyonu ise 4 aşamada gerçekleşmektedir[2].

1.    Genellikle posta eklerine bir Word belge dosyasında Makro olarak gelir.
2.    Etkinleştirildiğinde, Makro kalıcılık kazanmak için kayıt defterinde depolanan bir PowerShell komutu oluşturan dosyayı indirir.
3.    Sonra rastgele adlandırılmış dosya kendini siler.
4.    Bilgi göndermek ve almak için belirli web sitelerine bağlanır.

Aşağıdaki görsellerin ilkinde zararlının sisteme nasıl bulaştığı ve bulaştıktan sonra hangi adımları  izlediği gösterilmektedir. İkinci görsel ise zararlının Mitre Att&ck(Bilinen saldırgan davranışlarının yapılandırılmış bir listesidir. Bu liste, saldırganların kullandıkları taktik ve tekniklerin oldukça kapsamlı bir temsili olduğundan, savunma için değerlidir.) daki tanımıdır.


Resim1: Bulaşma ve Çalışma Süreci 

Resim2 : Mitre Att&ck Analiz



Analiz

   MD5                    49a748e9f2d98ba92b5af8f680bef7f2
   SHA-1                 8845240cef83fc22ee56085aeecb3886c0fbad2b
   SHA-256             15c237f6b74af2588b07912bf18e2734594251787871c9638104e4bf5de46589
   File Size             329KiB
   Mime                    application/x-dosexec
   File Type             Win 32 EXE




Exeinfo PE ile zararlıyı incelediğimizde MS Visual Basic ile yazıldığını ve packed işleminin yapılmadğını görmekteyiz.
 Packer bir programı şifreleme, sıkıştırma yada her iki algoritmayı kullanarak hem program üzerinde reversing işlemini zorlaştırmayı hemde antivirüsler tarafından yakalanmasını zorlaştırır[5].

Resim3 : Exeinfo PE Analiz


PeStudio bir dosya üzerinde şüphe etmeye değer olup olmadığını belirlemek için kullandığı bir gösterge listesine sahiptir. Bu gösterge sayfasına baktığımızda zararlının kod bütünlüğünü , Address Space Layout Randomization (ASLR) ve Data Execution Prevention (DEP) 'ı yok saydığını görüyoruz

 ASLR ara bellek taşma saldırısını başarılı bir şekilde önlemeyi sağlar.DEP ise bellekteki veri bölümünde kod yürütülmesine izin verme işlemini yapar[3].

Resim4: peStudio Genel Analiz.

Kovter zararlısını çalıştırdığımızda  zararlı powershell.exe yi çalıştırarak kendisini sisteme kurar.



Process Explorer ile PowerShell'i incelediğmizde  zararlının PowerShell'i çalıştırmak için hangi komutu kullandığını görebiliriz.

Resim5 : PowerShell Komut Satırı

PowerShell çalıştıktan sonra regsvr32.exe adında bir dosya oluşturur. Ardından kendini sistemden siler.

Resim6: Powershell'in çalıştırılması


Sistemin zararlı çalışmadan  önceki hali ile zararlı çalıştıktan sonra halini karşılaştığımız çalışan zararlı kayıt defterine yazma ve sistemde yeni dosyalar bırakma işlemini gerçekleştirmiştir. Aşağıdaki ilk görsel sisteme drop ettiği dosyaları, ikinci görsel ise kayıt defterine yazılan key değerlerini göstermektedir.

Resim7: Oluşturulan Yeni Dosyalar

Resim8: Kayıt Defterine Eklenen Yeni Keyler

Kovter kalıcılığı için zararlı kodunu kayıt defterinde gizler böylelikle diskte çalıştırılabilir dosyaya ihtiyaç duymaz.Kalıcılığını devam ettirebilmek için Windows kayıt defteri altındaki “HKCU/Software/Microsoft/Windows/CurrentVersion/Run” key'ini kullanır. Bu kayıt defteri girdisi, aşağıdaki görselde görüldüğü üzere  “.21d40” uzantılı bilinmeyen bir  dosyayı yürütmek için drop edilen bir batch scriptini çalıştırır.

Resim9: Zararlı Kayıt Defteri Analizi 1

9327.21d40” dosyası okunamaz bir içeriğe sahiptir. Kovter Windows Kayıt Defteri'nde, bu tür dosyaları çalıştırmak için özel bir yol kaydeder.



Önce kayıt defterine “6964” değerine sahip bir “.21d40” key'ini ekler. 


Resim10: Zararlı Kayıt Defteri Analizi 2

Bu key mshta.exe'yi kulanarak aşağıdaki görseldeki zararlı kodu çalıştırır.



Bu zararlı koda baktığımızda obfuscation işlemi uygulandığını anlıyoruz. Obfuscation kodların anlaşılabilirliğinin daha az olması için yapılmaktadır.  Ancak içinde nasıl devam edeceğimiz konusunda bize ipucu veren bir metin var. Burada başka bir kayıt defteri anahtarından değer okuduğunu görüyoruz. Bir sonraki adımımız, diğer kayıt defteri anahtarında ne depolandığını bulmak olmalıdır.


İkinci anahtarın değerine baktığımızda aynı karmaşıklaştırma işleminin uygulandığını görebiliriz.

Resim11: Zararlı Kayıt Defteri Analizi 3

Bu anahtarın değerini çözdüğünüzde PowerShell.exe yi çalıştıran bir komutun yürütüldüğünü göreceksiniz

 Tüm bu işlemleri özetleyecek olursak zararlı çalıştıktan sonra aşağıdaki görseldeki adımları gerçekleştirmektedir.


Resim12: Zararlı Çalışma Aşamaları
Mshta, Kovter tarafından kötü niyetli PowerShell Scripti çalıştırmak için kullanılır. Powershell çalıştıktan sonra bilgi alıp vermek için uzak sunuculara bağlanmayı sağlayan regsvr32.exe dosyasını ve aşağıdaki kullanıcı dizinindeki dosyaları oluşturur.

C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms~RF21126e.TMP

Kovter zararlısı tarafından oluşturulan  regsvr32.exe dosyası bilgi göndermek ve almak için belirli adreslerle bağlantı kurmayı sağlıyordu. Aşağıda, yürütme sırasında bağlantı kurulan adreslerin  kısmi bir listesi bulunmaktadır.

Resim13: Zararlı Ağ bağlantıları
Bağlantı Kurduğu IP Adresleri :

           
            104.16.90.188                         87.118.216.65                         132.173.207.32
            155.94.67.23                           43.120.137.36                         96.238.206.48
            5.45.62.53                               128.4.192.242                         203.156.40.102
            104.16.215.175                       107.180.14.218                       199.125.174.52
            162.144.210.240                     92.182.108.136                       218.70.133.17 7
            23.79.138.32                           113.243.115.21                        113.19.208.113
            99.140.38.66                           181.204.217.35                       60.48.34.246
            104.132.88.59                         179.247.23.124                       35.39.25.92
            13.185.61.174                         70.250.176.94                         176.54.132.227
            50.98.66.245                           182.117.255.134                     44.5.179.146
            47.6.192.115                           204.176.250.6                         39.129.69.160

            79.13.141.145                         193.169.125.173                     98.181.204.184
            59.169.119.248                       195.175.99.39                         121.180.88.88
            112.79.24.59                           91.55.186.107                         22.73.231.210
            26.162.94.224                         116.138130.61                        119.134.148.23

Bağlantı Kurduğu Domain Adresleri:
           
            microsoft.com
            download.microsoft.com

Kötü amaçlı yazılımlardan korunmak, verileriniz ve hesaplarınızdaki tehditleri en aza indirmek için aşağıdaki önerileri izleyebilirsiniz[4,2].

Öneriler:

·     Yazılımlarınızı güncel tutun.
·     Bağlantılara ve eklere karşı dikkatli olun.
·     Kötü amaçlı web sitelerine dikkat edin .
·     Bilmediğiniz çıkarılabilir sürücüleri takmayın.
·     Spam e-posta yoluyla geldiğinden dolayı, kuruluşlar e-posta tehditlerine karşı korumaya yönelik politikaları uygulamaya çalışmalıdır. Buna, kötü amaçlı e-postaları, son kullanıcıya ulaşmadan bile engelleyebilecek anti-spam filtreleri koymak da dahildir.
·     PowerShell genellikle dosyasız kötü amaçlı yazılım tarafından kötüye kullanılır, bu nedenle kuruluşların bu bileşeni güvenceye almak için gerekli önlemleri almaları gerekir.
·     İnternetiniz herkese açık olmamalı servislere gelen tüm bağlantıları engellemek için bir güvenlik duvarı kullanmalısınız. Varsayılan olarak, gelen tüm bağlantıları reddetmeli ve yalnızca açıkça dış dünyaya sunmak istediğiniz hizmetlere izin vermelisiniz.
·     Bir şifre politikası belirlemeli ve karmaşık şifreleri tercih etmelisiniz. 
·     Dosyasız kötü amaçlı yazılımların tespit edilmesi daha zor olmakla birlikte, kuruluşların tüm bitiş noktalarını izleme ve güvenlik altına alma çabaları devam etmelidir. Gelen ve giden ağ trafiğini izleyebilecek güvenlik duvarları ve çözümler kullanmak, dosya barındırmayan kötü amaçlı yazılımların bir kuruluşa bulaşmasını önlemeye yönelik uzun bir yol kat edebilir.



CoinMiner zararlısının tespit edilmesi için kullanılabilecek Yara ve Sigma kuralları;

Yara Kuralı

import "pe"

rule Kovter {
   meta:
      description = "Kovter"
      author = "Metin Münüklü"
      date = "2019-02-07"
      hash1 = "15c237f6b74af2588b07912bf18e2734594251787871c9638104e4bf5de46589"
   strings:
      $d =/This program (cannot|will not)/ //Regex

      $s1 = "Slangebinderes.exe" fullword wide
      $s2 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\VB6.OLB" fullword asci
      $s3 = "E\\TLLDDLLDDLLDDLLDD\\TLLDDLLDDLLDDLLDD\\" fullword ascii
      $s4 = "C:\\Windows\\SysWow64\\MSADODC.oca" fullword ascii

      $e0 = ".text"
      $e1 = ".data"
      $e2 = ".rsrc"
   condition:
      uint16(0) == 0x5a4d and filesize < 1000KB and
      ( pe.imphash() == "e90e644342c525fcd61c11b6130206e3" or (3 of ($s*) and( $d or 2 of ($e*))))
}

Sigma kuralı;

title: Kovert
status: experimental
description: Detect malicious activities that is used by Kovert
references:
tags:
    - attack.execution
author: Metin Münüklü
date:2019/02/07
detection:
    condition: 1 of them
logsource:
    category: firewall
detection:
    outgoing:
            dst:
-     '104.16.90.188'
-     '155.94.67.23/upload.php'
-     '184.75.68.200'
-     '26.237.42.190'
-     '147.28.125.191'
    incoming:
            src:
-     '104.16.90.188'
-     '155.94.67.23/upload.php'
-     '184.75.68.200'
-     '26.237.42.190'
-     '147.28.125.191'
logsource:
    product: windows
    service: sysmon
detection:
    selection1:
        EventID: 5
        TargetFileName:
-     '*\49a748e9f2d98ba92b5af8f680bef7f2*'
-     '\Windows\System32\conhost.exe*'
-     'C:\Windows\System32\mshta.exe'
-      '*\regsvr32.exe'
    selection2:
        EventID: 1
        CommandLine: ' ”*\powershell.exe” iex $env:rgpu '

    selection3:
            EventID: 1
            Image:
-     '*\conhost.exe'
-     '*\regsvr32.exe'
-     '*\mshta.exe'
-     '*\powershell.exe'          
fields:
-     EventID
-     CommandLine
-     Image
falsepositives:
-     unknown
level: high
mitre-attack:
-     Regsvr32
-     Scripting
-     Execution through API
-     PowerShell
-     Change Default File Association
-     Registry Run Keys/ Startup Folder
Query Registry


Kaynakça

           [5] https://blog.malwarebytes.com/cybercrime/malware/2017/03/explained-packer-crypter-and-protector/


           
Metin Münüklü
@SOC

Yorumlar

Bu blogdaki popüler yayınlar

1. Geleneksel Stajyer CTF Soru ve Cevapları

2. Geleneksel Stajyer CTF Soru ve Cevapları - 2017

Saldırı Tespit Sistemlerinde Derin Öğrenme Yaklaşımı - 2