Charming Kitten

Genel Bakış

Charming Kitten, 2014 yılından beri aktif olduğu düşülen İran kökenli bir siber casusluk grubudur. Hedef kitlesini İran’da veya İran dışında (Türkiye, ABD, İsrail, Birleşik Krallık vs.) yaşayan spesifik bireyler oluşturuyor. Hedefledikleri bireylerin genelde İran ile ilgisi olan konularda akademik, insan hakları veya medya üzerinde çalışması olan kişiler olduklarını görüyoruz. Bu grubun ilk amacı ise hedeflerin kişisel e-mail adreslerini veya Facebook hesaplarını ele geçirmek. Bu grubun uyguladığı taktik, teknik ve prosedür (TTP) yine İran kökenli olan Rocket Kitten ile çok benzediği için bu iki grup arasındaki sınırın çizilmesi çok zor olabiliyor[1].

Özet

Bu analiz, İran kökenli Charming Kitten grubunun neler yaptığını, hangi tekniklerle saldırılarını gerçekleştirdiği, hedef kitlesinin kim olduğu ve ne kadar tehlikeli olabileceklerini gösteriyor. Hedeflerinin İran kökenli olan veya İran ile ilgili araştırma yapan insanlar olduğunu gördüğümüz bu grup, genellikle oltalama mailleri kullanarak saldırılarını gerçekleştiriyor. Özellikle İran’a yaptırımların kabul edildiği veya arttırıldığı zamanlarda faaliyetleri artan Charming Kitten grubu, oltalama saldırıları kullanarak spesifik olarak hedefledikleri kurbanlarının Google, Yahoo, Facebook ve bunlara benzeyen bilgilerini çalmaya çalışıyor. Aşağıdaki görselde grubun genel olarak yaptıklarını görebilirsiniz.




Certfa tarafından yapılan araştırmaya [5] göre Charming Kitten grubunu 2018’in Eylül ve Ekim aylarında yine faaliyetlerine başladığını ve çok fazla domain adresi aldıklarını görüyoruz. En son aktivitelerinde kullandıkları siteler ve IP adreslerine ait ilişki grafiği aşağıda verilmiştir. Grafiğin ne kadar karışık olduğu bize bu grubun saldırılarının planlı ve organize olduğu hakkında fikir veriyor.



Kullanılan Yöntemler

Clearskysec tarafından yapılan araştırmalara göre Charming Kitten grubu aşağıdaki metotları kullanarak saldırılarını gerçekleştiriyor:
  1. Sahte kurum ve kişi profilleri oluşturmaktadır.
  2. Gerçek kurum ve kuruluşları taklit ederek.
  3. Oltalama mailleri kullanmak.

Sahte Kurum ve Kişi Profilleri Oluşturmak

Sahte Kurum

Charming Kitten’in en büyük hedeflerinden biri olan uluslararası medya kuruluşlarında çalışan İranlı gazetecilerdir. Bu gazetecileri şantaj yaparak tehdit ettikleri daha önce açığa çıkmıştı[3]. Bu grubun “Britishnews” isimli Britanya kaynaklı sahte bir haber sitesi oluşturduğunu görüyoruz. Bu siteye yönlendirilen başka domainlerinde olduğu yine belirtiliyor. Siteler kapatıldı fakat raporlanan ekran görüntülerinden britishnew.com[.]co ile ilgili aşağıdaki görselleri görebilirsiniz. Hatta sahte şirket için sosyal medya hesapları bile oluşturduklarını görüyoruz.






 
Grubun böyle bir sayfayı yapmasının amacı inandırıcılık sağlayıp güven kazanabilmek. Siteyi ziyaret eden kurbanların güvenini kazanarak daha fazla kalmasını hedeflemektedirler. Bu isteklerinin nedeni, sitenin içerisinde gömülü olan BeEF kütüphanesinin çalışıp etki etmesi için gerekli olan zamanı geçirmelerini sağlamaktır. BeEF (Browser Exploitation Framework) açık kaynaklı bir sızma testi aracıdır. Bu araç tarayıcıdaki zafiyetleri arayıp bularak hedefteki sisteme sızmak için kullanılabilecek çok güçlü bir programdır. Komut satırında kullanılması dışında birde API sağlayarak işlemleri otomatize etmeye olanak sağlıyor.


Sahte Kişiler

Charming Kitten grubunun sahte hesaplar açarak İran ile ilgili araştırma yapan kişilere mail veya sosyal medya üzerinden ulaşmaya çalıştıklarını görüyoruz. Oluşturdukları sahte hesapları genellikle öğrenci veya gazeteci kimliklerine sokuyorlar. Aşağıdaki görselde Zehavit Yehuda isimli sahte bir hesabın attığı e-mail görülmekte. E-mailde bulunan link Google’ın Sites isimli servisini kullanarak oluşturulmuş. Google tarafından onaylı bir link olduğu için inandırıcılığını arttırıyor.


 
Grubun kullandığı başka bir sahte hesap ise Yafa Hyat kullanıcı adlı bir Twitter hesabı. 06.02.2019 tarihinde bu yazıyı yazarken hala aktif olan bu hesap, yine yardım almak için Twitter üzerinden mesaj atıyor. Bu mesajda da görüldüğü üzere yine verilen link yine sites.google domainine ait. Linke basıldığında download-google.original-links[.]com adresine yönlendiriliyor. Kurban indirme butonuna basınca grubun oluşturduğu fakat Google hesapları için giriş yapılan sayfaya çok benzeyen bir sayfa ile karşılaşıyor. Tahmin edileceği üzere grup buradan kurbanın bilgileri çalıyor.








 

Gerçek Kurum ve Kuruluşları Taklit Etmek

Grubun gerçek şirketleri taklit ederek yeni web siteleri oluşturduğu ve bunlar üzerinden zararlı dosya yaydığını veya BeEF kullanarak hedef sisteme saldırmaya çalışıyor. Uçak motoru, uzay sistemleri ve askeri alanda çalışan “United Technologies” şirketinin de taklit edildiği raporlanmıştır.

Bu websitesi üzerinden “Flash Player” indirilmesini söyleyen saldırganlar Flash Player yerine zararlı içeriği indirtiyor.



Bunun dışında bu yazıyı yazarken referans aldığım raporu yayınlayan şirket olan ClearSky şirketinin de taklidinin yapıldığı ortaya çıktı[4]. Burada yapmak istedikleri, Outlook hesabıyla giriş yapmak isteyen kullanıcının bilgilerini çalmak. Bu amaçla, Google hesapları için yaptıklarını Outlook için yapıp orijinaline çok benzeyen bir giriş sayfasıyla hedefleri kandırmaya çalışıyor.


 
En son olarak grubun Jewish Journal websitesini taklit ederek başka bir site oluşturduğunu ve bu site üzerinden BeEF kütüphanesini kullanarak saldırmayı amaçladığını görüyoruz.

 

Oltalama Mailleri

Oltalama mailleri sahte kurum, kişi vs. oluşturarak türlü türlü sahtekarlıklar yaparak kurbanların bilgilerini çalmaya yarayan saldırı biçimidir. Örnek olarak, Google hesap giriş ekranının aynısını veya çok benzerini mail olarak aldınız. Mailde sizin kullancı adı ve şifrenizi girmenizi istiyor. Bu bilgileri girip, giriş yaptığınız zaman sizin bilgilerinizi karşı tarafa iletiliyor. Bu yönteme oltalama saldırısı diyebiliriz. Oltalama saldırılarının birçok çeşidi bulunmakta fakat Charming Kitten grubunun kullandığı yol, spesifik olarak hedefleri seçip (spear phishing) onlara oltalama mailleri yollamak. Charming Kitten grubunun oltalama mailleri ile saldırdığı grup genelde İran ile ilgili araştırma yapan akademisyenler, gazeteciler ve askerler oluyor.
İlk örneğimizde İsrail kökenli bir film yönetmeni olan Alon Gur Arye üzerinden atılmış bir mail var. Yönetmenin gmail hesabını ele geçirdikten sonra o hesaptan aşağıdaki maili atan grup bu sefer link kısaltma servisi olan bit.ly’i kullanıyor.



 
Bu link, kurbanı drivers.document-supportsharing[.]bid adresine yönlendiriyor. Bit.ly servisinin güzel özelliklerinden bir tanesi linke ait istatistikleri bize sunması. Aşağıdaki görselde de görüldüğü üzere 3 kere Hollanda’dan 1 kere İran’dan tıklandığını görüyoruz. İran’dan yapılan tıklamanın test için kullanıldığını tahmin etmek zor olmasa gerek.



Yönlendirilen linkin Google-Drive’a çok benzeyen bir arayüzü var. Buradaki Download butonuna basan kurban giriş sayfasına yönlendirilip, bilgileri çalınıyor.

 
Bir başka örnekte de grubun suspended.user.notification[at]gmail.com adında bir email adresi açtıkları ve saldırılarını bunun üzerinden yaptığı gözüküyor. Burada kullandıkları taktik, hedefin hesabının askıya alındığını ve linke tıklayıp giriş yapması gerektiğini söylüyor. Linke tıklayınca da aşağıdaki giriş sayfasına yönlendirip kullanıcı bilgilerini çalmaya çalışıyor.






Charming Kitten grubunun çok farklı teknikler kullandığı raporlanmıştır. Aşağıda kullandıkları bazı tekniklerin örnekleri, ekran görüntüleri ile beraber verilmiştir.





Google Hangouts servisinin taklidi yapılarak yollanan bir oltalama maili





Hesabınızda şüpheli hareketlerin olduğunu ve bunu kullanıcının yapıp yapmadığını soran bir mail[5]



Google’ın 2 Adımlı Yetkilendirme servisini taklit edip kullanıcıya gelen SMS’i de çalmayı hedefleyen sahte site




Grubun bu seferde Yahoo servislerini taklit ettiği görülüyor. Yahoo maile ait gibi gözüken sahte giriş sayfası


Grubun Yahoo’nun 2 adımlı yetkilendirme servisini de taklit ettiğini görüyoruz.

 

DownPaper Analizi

Charming Kitten grubunun kullandığı Flash Player olarak indirtmeye çalıştıkları zararlıyı trojan olarak sınıflandırabiliriz. Bu trojanın asıl amacı sistem adı, kullanıcı adı ve seri numarası bilgilerini kontrol sunucusuna yollayıp, kontrol sunucusundan zararlı dosyayı indirmektir.

Temel Bilgiler

Bu bölümde verilecek olan bilgiler inceleyeceğimiz zararlıya aittir. Bu dosya yazının geri kalanında Downpaper olarak adlandırılacaktır.

Downpaper




Downpaper.exe
MD5
3261d45051542ab3e54fa541f132f899
SHA-1
479e1e02d379ad6c3c7f496d705448fa955b50a1
SHA-256
a86ccf0049be20c105e2c087079f18098c739b86d52acb13f1d41f1ccc9f8e1c
SSDeep
384:OFbqxy5ii1aMy7sN9itYl7gmCdxGLXoD8W:OheaD+e917gPwLXoD
Dosya boyutu
14 KB
Dosya türü
Win32 EXE
MIME
application/octet-stream



VirusTotal sonucu



Downpaper tarafından kullanılan MITRE ATT&CK teknikleri[6]
 

Bulaşma Yolları

Yukarıda da bahsedildiği gibi Charming Kitten, bu zararlıyı taklit ettiği veya ele geçirdiği sitelerde flash player süsü vererek dağıtıyor. Flash player sanılarak indirilen program aslında Downpaper zaralısıdır.

Analiz

Elimizde bulunan zararlının hangi dille yazıldığını ve paketlenip paketlenmediğini kontrol etmek için Detect It Easy programını kullanıyoruz. Zararlının .net ile yazılmış olduğunu ve paketlenmediğini görüyoruz.



.Net ile yazılan programların kaynak koduna dönmek (decompile) gayet kolaydır. Dnspy programıyla zararlımızın kaynak kodlarını çok rahat bir şekilde görebiliyoruz. Zararlının bölümleri ve kullandığı kütüphaneler aşağıdaki görsellerde görülebilir.

Zararlının kullandığı kütüphaneler
  Zararlının bölümleri




Zararlının main fonksiyonuna baktığımızda genel olarak ne yaptığını anlayabiliyoruz. Adım adım gitmek gerekirse:
  1. Resources kısmından base64lenmiş URL'i decode edip sonradan kullanmak üzere saklıyor.
  2. Zararlının içinde gömülü olarak bulunan base64lenmiş stringleri decode ederek(\SOFTWARE\Microsoft|Windows\CurrentVersion\Run) bu sefer registry değeri saklıyor.
  3. Bu registrynin içerisinde Windows Update'i arıyor.
  4. Eğer değer null dönerse IL_B4 bloğuna atlıyor. Eğer oradaki değer dosyanın isminden farklı ise Block_2'ye atlıyor.
  5. IL_B4 bloğunda(yani null dönerse) zararlı yeni Global\UpdateCenter adında yeni bir mutex oluşturup bu mutexi çalıştırıyor.
  6. Block_2 bloğunda da yine 5.adımdakilerin aynısnı yapıp, wuaclt.exe dosyasının dizinini tutuyor. Bundan sonra SetStartUp fonksiyonu çağırılıyor.
  7. SetStartUp fonksiyonun yaptıkları:
    1.  text fonksiyonunun içerisindeki base64lenmiş stringi decode ettiğimizde elimize powershell scripti geçiyor.
    2. Bu powershell scripti, Window Update adından registry key oluşturup kendini kopyalıyor.
  8. Ayarlarını yaptıktan sonra makine adı, kullanıcı adı ve makinenin seri bilgisini(Sorgu yaparak) toplamaya başlıyor.
  9. Topladığı bilgileri yolluyor.
  10. Eğer kontrol sunucusundan yeni bir dosya gelirse, dosyayı indirip %temp% klasörüne kaydediyor. İndirdiği dosyayı, yeni bir thread oluşturarak çalıştırıyor. Gelmezse 10 saniye bekleyip 8.adıma geri dönüyor.


Downpaper Tespiti için Uygulanabilecek SIEM Kuralları

title: DownPaper
description: Detect DownPaper malicious activities which is used by Charming Kitten
author: Burak ÇARIKÇI
references:
https://www.clearskysec.com/wp-content/uploads/2017/12/Charming_Kitten_2017.pdf
date: 2019/02/07
status: testing
detection:
condition: (outgoing or incoming) and (selection1 and selection2)
logsource:
category: firewall
detection:
outgoing:
dst:
- 46.17.97.37
incoming:
src:
- 46.17.97.37
logsource:
product: windows
service: sysmon
detection:
selection1:
#Sysmon process creation
EventID: 1
ParentImage:
- '*\dndl.exe'
- '*\downpaper.exe'
- '*\sami.exe'
Image:
- '*\cmd.exe'
- '*\powershell.exe'
- '*\sami.exe'
- '*\wuauclt.exe'
- '*\azii.exe'
- '*\Azita Gallery.exe'
- '*\pita.exe'
- '*\ax haye ayin.exe'
#Registry Changes
logsource:
product: windows
service: sysmon
detection:
selection2:
EvenID: 13
TargetObject:
- '*\HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*'
EventType: 'SetValue'
fields:
- Image
- ParentImage
- CommandLine
- EventID
- TargetObject
falsepositives:
- unknown
level: high
mitre-attack:
- Command-Line Interface
- PowerShell
- Query Registry
- Registry Run Keys / Startup Folder
- Standard Application Layer Protocol
- System Information Discovery
- System Owner/User Discovery

Öneriler

  • Bilinçlenmek en büyük önlemlerden biridir. Gündemi takip edebilecek kadar bilgi çok şey değiştirebilir.
  • Oltalama saldırıları ile ilgili güncel kalın. Gelen mail adresini, mailde bulunan yazım yanlışları, şüpheli linkleri, kullanılan görselleri kontrol etmek önemli bir ipucu verebilir.
  • Güvenli parolalar belirleyin ve parolalarınızı belirli aralıklarla değiştirin.
  • SMS veya şifresiz halde gelen 2 adımlı doğrulama yöntemlerini kullanmak güvenli olmayabilir. Donanımsal veya uygulama olarak hizmet veren 2 adımlı doğrulama yöntemleri kullanılabilir.
  • Güvenmediğiniz dosyaları, IP ve URL adreslerini, VirusTotal vb. siteleri kullanarak kontrol edebilirsiniz.
  • Güvenilir antivirüs programları kullanabilirsiniz.
  • Domain-Based Message Authentication, Reporting & Conformance (DMARC) sistemi kurularak kuruma gelen spam mailleri en aza indirebilirsiniz[7].
Burak ÇARIKÇI

Kaynakça

  1. Charming Kitten: https://attack.mitre.org/groups/G0058/
  2. Clearsky şirketi tarafından yayınlanan Charming Kitten raporu: https://www.clearskysec.com/wp-content/uploads/2017/12/Charming_Kitten_2017.pdf
  3. Iranian agents blackmailed BBC reporter with ‘naked photo’ threats: www.arabnews.com/node/1195681/media
  4. Iranian Charming Kitten ATP group poses as Israeli cybersecurity firm in phishing campaign: https://securityaffairs.co/wordpress/74123/apt/charming-kitten-clearsky-phishing.html
  5. The Return of The Charming Kitten: https://blog.certfa.com/posts/the-return-of-the-charming-kitten/
  6. DownPaper: https://attack.mitre.org/software/S0186/
  7. DMARC: https://en.wikipedia.org/wiki/DMARC

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

1. Geleneksel Stajyer CTF Soru ve Cevapları

Resim
İlkini 26 Mayıs - 1 Haziran 2016 tarihleri arasında gerçekleştirmiş olduğumuz ve bundan sonraki stajyer alım süreçlerinde de devamlı gerçekleştirmeyi düşündüğümüz CTF (Capture The Flag) yarışmamızda sorulan sorular ve çözümleri için izlenebilecek adımlar aşağıda verilmiştir. 1. Verilen soruda "Her görünenin ardında gizli bir şeyler vardır." ile olayın sadece bir resimden ibaret olmadığı ve bir şeylerin gizlendiği/gizlenebileceği anlatılmaya çalışılmıştır. Burada da ilk olarak data gizleme/saklama bilimi olan Steganografi'nin akıllara gelmesi gerekmekteydi. Steganografi ile ilgili ayrıntılı bilgi için bkz . Resim dosyalarına farklı yöntemler ile data saklanabilmektedir. Popüler olarak kullanılan Steghide aracıyla, graph-theoretic yaklaşımıyla veri saklama işlemi yapılabilir. Soruda verilen resim aşağıdaki gibidir. Steghide ile resim içerisindeki datayı çıkartmayı denediğimiz zaman parola soracaktır. Brute force ile doğru parolayı bulmanız gerekmekte,
Devamını okuyun

2. Geleneksel Stajyer CTF Soru ve Cevapları - 2017

Resim
2. si düzenlenen CRYPTTECH Stajyer CTF'inde sorulan soruların çözümlerinden önce yarışma içeriğine dair birkaç istatistik ile başlangıcı yapalım. CTF ‘17’de sorduğumuz soruların genel görüntüsü aşağıdaki gibidir. Flag formatıyla beraber toplamda 16 soru sorulmuştur. 75 kayıtlı kullanıcının olduğu CTF’te aktif 42 katılım olmuştur. Sorulara göz attıktan sonra korkup kaçanların sayısını bilemiyoruz. 2000 ’e yakın cevabın girildiği sistemde; 213 doğru cevap, 1682 yanlış cevap girilmiştir.   Sorulara verilen cevapların dağılımı aşağıdaki gibi olmuştur; CEVAPLAR Soru 1: Başlangıç olarak sonraki sorularda verilecek cevapların formatının nasıl olması gerektiğini belirten format üzerine kurulu bir sorumuz vardı; Bu soruya inatla yanlış cevaplar veren ve cevap soruda yazmasına rağmen ipucu isteyip 7 puanını kaptıran arkadaşlara selam olsun. Cevap 1: CT_{flag} Soru 2: Sorudan anlaşılması beklenen, verilen klasördeki 66 resim içerisinden aynı hash (heş) değerine s
Devamını okuyun

B*-Tree (BTree, BPlusTree) Veri Yapısı ile Veri İndeksleme

Resim
Veri indeksleme Veri asıl kaynağına yazılırken bir format takip edilir. Bu formata göre, bazı sorgulamaların yapılması çok zaman almaktadır. Bazen tüm verinin taranması gerekebilir. Veriye erişimi hızlandırmak için, asıl veriye ek olarak, farklı biçimlerde tekrar bilgi yazılması gerekmektedir. Farklı biçimlerde verinin tekrar yazılması işlemi "indeksleme" olarak adlandırılmaktadır. İndeksleme yaklaşımında, indekslenecek anahtar veri ve asıl veriye referans bulunmaktadır. ( <Key,Pointer> ) Asıl veri değiştiğinde, indeks verilerinin de güncellenmesi gerekir. Bu yazımızda; önemli indeksleme tekniklerinden olan BTree ve BPlusTree veri yapılarının özellikleri hakkında bilgi verilecektir. BPlusTree, ilişkisel veritabanlarında en çok kullanılan ağaç veri yapısıdır. BTree Veri yapısı BTree, ağaç şeklinde dinamik bir veri yapısıdır. Nodlar ve nod içindeki sıralı elemanlardan oluşur. Kök noddan başlayarak; her bir elemanın küçük değerleri, sola doğru, büyük değerleri is
Devamını okuyun