Kovter Zararlı Yazılımı ve Uygulanabilecek SIEM Kuralları
Giriş
Kovter kötü amaçlı yazılım
ailelerinden biridir. Zaman içerisinde kullandığı yöntemlerde kapsamlı
değişiklikler yaptı. Tespiti ve analizi zorlaştırmak için
PowerShell scriptlerinde ve kayıt defteri anahtarlarındaki zararlı modülleri
gizler. Bu yazımda kovter zararlısının bir örneğini incelemeye çalışacağım.
Takip eden bölümlerde zararlı hakkında genel bir bilgi, zararlının sistemlere
nasıl bulaştığı, bulaştığı sistemlerde çalıştıktan sonra hangi davranışları
gösterdiği, hangi adreslerle bağlantı kurduğu ve tespiti için yazılabilecek
kurallardan bahsedeceğim.Çayınızı da
aldıysanız artık başlayabiliriz:)
Fidye yazılımları
son zamanlarda siber suçluların para kazanma yollarından biri haline
geldi. Kovter olarak bilinen kötü amaçlı yazılım da bu fidye yazılımlarından
biridir. Kovter fidye yazılımı günde yaklaşık 44.000 cihaza zarar vermekte ve
başarılı saldırı başına 1000 dolar kazanmaktadır[1].Bir çok zararlı yazılım
gibi ömrü boyunca ceşitli mutasyonlara uğramıştır
Bu
zaralı yazılımın ilk varyasyonu hedef sisteme bulaştığında kullanıcının yasa
dışı dosyalar indirmesini bekleyerek kullanıcaya fidye talebinde bulunmaktadır.
Kolaylıkla tespit edilip kaldırılabildiği için bir sonraki varyasyona evrilmesi
kaçınılmaz bir hal aldı. Ikinci versiyonu ise bir tıklama sahtekarlığını hedef
almaktadır. Bulaştığı sistemlerde kod enjekte ederek topladı bilgileri Komuta
kontrol sunucusuna göndermektedir. Son versiyonu ise 4 aşamada
gerçekleşmektedir[2].
1. Genellikle posta eklerine bir Word belge dosyasında Makro
olarak gelir.
2. Etkinleştirildiğinde, Makro kalıcılık kazanmak için kayıt
defterinde depolanan bir PowerShell komutu oluşturan dosyayı indirir.
3. Sonra rastgele adlandırılmış dosya kendini siler.
4. Bilgi göndermek ve almak için belirli web sitelerine
bağlanır.
Aşağıdaki
görsellerin ilkinde zararlının sisteme nasıl bulaştığı ve bulaştıktan sonra
hangi adımları izlediği
gösterilmektedir. İkinci görsel ise zararlının Mitre Att&ck(Bilinen
saldırgan davranışlarının yapılandırılmış bir listesidir. Bu liste,
saldırganların kullandıkları taktik ve tekniklerin oldukça kapsamlı bir temsili
olduğundan, savunma için değerlidir.) daki tanımıdır.
 |
| Resim1: Bulaşma ve Çalışma Süreci |
 |
Resim2 : Mitre Att&ck Analiz
|
Analiz
MD5 49a748e9f2d98ba92b5af8f680bef7f2
SHA-1 8845240cef83fc22ee56085aeecb3886c0fbad2b
SHA-256 15c237f6b74af2588b07912bf18e2734594251787871c9638104e4bf5de46589
File Size 329KiB
Mime application/x-dosexec
File Type
Win 32 EXE
Exeinfo
PE ile zararlıyı incelediğimizde MS Visual Basic ile yazıldığını ve packed
işleminin yapılmadğını görmekteyiz.
Packer bir
programı şifreleme, sıkıştırma yada her iki algoritmayı kullanarak hem program
üzerinde reversing işlemini zorlaştırmayı hemde antivirüsler tarafından
yakalanmasını zorlaştırır[5].
 |
| Resim3 : Exeinfo PE Analiz |
PeStudio
bir dosya üzerinde şüphe etmeye değer olup olmadığını belirlemek için
kullandığı bir gösterge listesine sahiptir. Bu gösterge sayfasına baktığımızda
zararlının kod bütünlüğünü , Address Space Layout Randomization (ASLR) ve Data Execution
Prevention (DEP) 'ı yok saydığını görüyoruz
ASLR
ara bellek taşma saldırısını başarılı bir şekilde önlemeyi sağlar.DEP ise
bellekteki veri bölümünde kod yürütülmesine izin verme işlemini yapar[3].
 |
| Resim4: peStudio Genel Analiz. |
Kovter
zararlısını çalıştırdığımızda zararlı
powershell.exe yi çalıştırarak kendisini sisteme kurar.
Process
Explorer ile PowerShell'i incelediğmizde
zararlının PowerShell'i çalıştırmak için hangi komutu kullandığını
görebiliriz.
 |
| Resim5 : PowerShell Komut Satırı |
PowerShell
çalıştıktan sonra regsvr32.exe adında bir dosya oluşturur. Ardından kendini
sistemden siler.
 |
| Resim6: Powershell'in çalıştırılması |
Sistemin
zararlı çalışmadan önceki hali ile
zararlı çalıştıktan sonra halini karşılaştığımız çalışan zararlı kayıt
defterine yazma ve sistemde yeni dosyalar bırakma işlemini gerçekleştirmiştir.
Aşağıdaki ilk görsel sisteme drop ettiği dosyaları, ikinci görsel ise kayıt
defterine yazılan key değerlerini göstermektedir.
 |
| Resim7: Oluşturulan Yeni Dosyalar |
 |
| Resim8: Kayıt Defterine Eklenen Yeni Keyler |
Kovter
kalıcılığı için zararlı kodunu kayıt defterinde gizler böylelikle diskte
çalıştırılabilir dosyaya ihtiyaç duymaz.Kalıcılığını devam ettirebilmek için
Windows kayıt defteri altındaki “HKCU/Software/Microsoft/Windows/CurrentVersion/Run”
key'ini kullanır. Bu kayıt defteri girdisi, aşağıdaki görselde görüldüğü
üzere “.21d40” uzantılı bilinmeyen
bir dosyayı yürütmek için drop edilen
bir batch scriptini çalıştırır.
 |
| Resim9: Zararlı Kayıt Defteri Analizi 1 |
9327.21d40”
dosyası okunamaz bir içeriğe sahiptir. Kovter Windows Kayıt Defteri'nde, bu tür
dosyaları çalıştırmak için özel bir yol kaydeder.
Önce
kayıt defterine “6964” değerine sahip bir “.21d40” key'ini ekler.
 |
| Resim10: Zararlı Kayıt Defteri Analizi 2 |
Bu
key mshta.exe'yi kulanarak aşağıdaki görseldeki zararlı kodu çalıştırır.
Bu
zararlı koda baktığımızda obfuscation işlemi uygulandığını anlıyoruz. Obfuscation kodların anlaşılabilirliğinin
daha az olması için yapılmaktadır. Ancak
içinde nasıl devam edeceğimiz konusunda bize ipucu veren bir metin var. Burada
başka bir kayıt defteri anahtarından değer okuduğunu görüyoruz. Bir sonraki
adımımız, diğer kayıt defteri anahtarında ne depolandığını bulmak olmalıdır.
İkinci
anahtarın değerine baktığımızda aynı karmaşıklaştırma işleminin uygulandığını
görebiliriz.
 |
| Resim11: Zararlı Kayıt Defteri Analizi 3 |
Bu anahtarın değerini çözdüğünüzde PowerShell.exe yi
çalıştıran bir komutun yürütüldüğünü göreceksiniz
Tüm bu işlemleri özetleyecek olursak zararlı
çalıştıktan sonra aşağıdaki görseldeki adımları gerçekleştirmektedir.
 |
| Resim12: Zararlı Çalışma Aşamaları |
Mshta,
Kovter tarafından kötü niyetli PowerShell Scripti çalıştırmak için kullanılır.
Powershell çalıştıktan sonra bilgi alıp vermek için uzak sunuculara bağlanmayı
sağlayan regsvr32.exe dosyasını ve aşağıdaki kullanıcı dizinindeki dosyaları
oluşturur.
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms~RF21126e.TMP
Kovter
zararlısı tarafından oluşturulan
regsvr32.exe dosyası bilgi göndermek ve almak için belirli adreslerle
bağlantı kurmayı sağlıyordu. Aşağıda, yürütme sırasında bağlantı kurulan
adreslerin kısmi bir listesi
bulunmaktadır.
 |
| Resim13: Zararlı Ağ bağlantıları |
Bağlantı Kurduğu IP Adresleri :
104.16.90.188 87.118.216.65 132.173.207.32
155.94.67.23 43.120.137.36 96.238.206.48
5.45.62.53 128.4.192.242 203.156.40.102
104.16.215.175 107.180.14.218 199.125.174.52
162.144.210.240 92.182.108.136 218.70.133.17 7
23.79.138.32 113.243.115.21 113.19.208.113
99.140.38.66 181.204.217.35 60.48.34.246
104.132.88.59 179.247.23.124 35.39.25.92
13.185.61.174 70.250.176.94 176.54.132.227
50.98.66.245 182.117.255.134 44.5.179.146
47.6.192.115 204.176.250.6 39.129.69.160
79.13.141.145 193.169.125.173 98.181.204.184
59.169.119.248 195.175.99.39 121.180.88.88
112.79.24.59 91.55.186.107 22.73.231.210
26.162.94.224 116.138130.61 119.134.148.23
Bağlantı Kurduğu Domain Adresleri:
microsoft.com
download.microsoft.com
Kötü
amaçlı yazılımlardan korunmak, verileriniz ve hesaplarınızdaki tehditleri en
aza indirmek için aşağıdaki önerileri izleyebilirsiniz[4,2].
Öneriler:
·
Yazılımlarınızı güncel tutun.
·
Bağlantılara ve eklere karşı
dikkatli olun.
·
Kötü amaçlı web sitelerine dikkat
edin .
·
Bilmediğiniz çıkarılabilir
sürücüleri takmayın.
·
Spam e-posta yoluyla geldiğinden
dolayı, kuruluşlar e-posta tehditlerine karşı korumaya yönelik politikaları
uygulamaya çalışmalıdır. Buna, kötü amaçlı e-postaları, son kullanıcıya
ulaşmadan bile engelleyebilecek anti-spam filtreleri koymak da dahildir.
·
PowerShell genellikle dosyasız kötü
amaçlı yazılım tarafından kötüye kullanılır, bu nedenle kuruluşların bu
bileşeni güvenceye almak için gerekli önlemleri almaları gerekir.
·
İnternetiniz herkese açık olmamalı
servislere gelen tüm bağlantıları engellemek için bir güvenlik duvarı
kullanmalısınız. Varsayılan olarak, gelen tüm bağlantıları reddetmeli ve
yalnızca açıkça dış dünyaya sunmak istediğiniz hizmetlere izin vermelisiniz.
·
Bir şifre politikası belirlemeli ve
karmaşık şifreleri tercih etmelisiniz.
·
Dosyasız kötü amaçlı yazılımların
tespit edilmesi daha zor olmakla birlikte, kuruluşların tüm bitiş noktalarını
izleme ve güvenlik altına alma çabaları devam etmelidir. Gelen ve giden ağ
trafiğini izleyebilecek güvenlik duvarları ve çözümler kullanmak, dosya barındırmayan
kötü amaçlı yazılımların bir kuruluşa bulaşmasını önlemeye yönelik uzun bir yol
kat edebilir.
CoinMiner zararlısının tespit edilmesi için
kullanılabilecek Yara ve Sigma kuralları;
Yara Kuralı
import "pe"
rule
Kovter {
meta:
description = "Kovter"
author = "Metin Münüklü"
date = "2019-02-07"
hash1 =
"15c237f6b74af2588b07912bf18e2734594251787871c9638104e4bf5de46589"
strings:
$d =/This program (cannot|will not)/
//Regex
$s1 = "Slangebinderes.exe" fullword
wide
$s2 = "C:\\Program Files
(x86)\\Microsoft Visual Studio\\VB98\\VB6.OLB" fullword asci
$s3 =
"E\\TLLDDLLDDLLDDLLDD\\TLLDDLLDDLLDDLLDD\\" fullword ascii
$s4 =
"C:\\Windows\\SysWow64\\MSADODC.oca" fullword ascii
$e0 = ".text"
$e1 = ".data"
$e2 = ".rsrc"
condition:
uint16(0) == 0x5a4d and filesize <
1000KB and
( pe.imphash() ==
"e90e644342c525fcd61c11b6130206e3" or (3 of ($s*) and( $d or 2 of
($e*))))
}
Sigma
kuralı;
title:
Kovert
status:
experimental
description:
Detect malicious activities that is used by Kovert
references:
-https://www.hybrid-analysis.com/sample/15c237f6b74af2588b07912bf18e2734594251787871c9638104e4bf5de46589
tags:
- attack.execution
author:
Metin Münüklü
date:2019/02/07
detection:
condition: 1 of them
logsource:
category: firewall
detection:
outgoing:
dst:
-
'104.16.90.188'
-
'155.94.67.23/upload.php'
-
'184.75.68.200'
-
'26.237.42.190'
-
'147.28.125.191'
incoming:
src:
-
'104.16.90.188'
-
'155.94.67.23/upload.php'
-
'184.75.68.200'
-
'26.237.42.190'
-
'147.28.125.191'
logsource:
product: windows
service: sysmon
detection:
selection1:
EventID: 5
TargetFileName:
-
'*\49a748e9f2d98ba92b5af8f680bef7f2*'
-
'\Windows\System32\conhost.exe*'
-
'C:\Windows\System32\mshta.exe'
-
'*\regsvr32.exe'
selection2:
EventID: 1
CommandLine: ' ”*\powershell.exe” iex
$env:rgpu '
selection3:
EventID: 1
Image:
-
'*\conhost.exe'
-
'*\regsvr32.exe'
-
'*\mshta.exe'
-
'*\powershell.exe'
fields:
-
EventID
-
CommandLine
-
Image
falsepositives:
-
unknown
level:
high
mitre-attack:
-
Regsvr32
-
Scripting
-
Execution through API
-
PowerShell
-
Change Default File Association
-
Registry Run Keys/ Startup Folder
Query
Registry
Kaynakça
[1] https://www.v3.co.uk/v3-uk/news/2360128/kovter-police-ransomware-infecting-44-000-devices-per-day
[5] https://blog.malwarebytes.com/cybercrime/malware/2017/03/explained-packer-crypter-and-protector/
Metin Münüklü
@SOC
Yorumlar
Yorum Gönder