Formbook Zararlı Analizi ve Alınması Gereken Önlemler


Genel Bakış

Bulut teknolojilerinin gelişmesiyle beraber servis olarak verilen hizmetlerin sayısında da büyük bir artış gözlemleniyor. Bu furyaya zararlı yazılımlarda ayak uydurmaya başladı. Malware-as-a-service olarak dağıtılan zararlı yazılımlarda, belirli bir panel üzerinden istediğiniz özelliklere ve istediğiniz süreye göre ödemeyi yapıp, zararlı yazılımı satın alabiliyorsunuz. Formbook, bu yöntemle çalışan bir veri hırsızı (stealer) zararlısıdır. Genel amacı kurbanın parolalarını ve verilerini çalmaktır. Formbook zararlısının internette reklamları bulunmaktadır[1].







Görsellerde de görüldüğü üzere haftalık/aylık/3 aylık ve pro versiyonları satılıyor. Formbook, Assembly ve C ile yazılmış, tarayıcılardan parolaları ve verileri kopyalama yetenekleri olan, kontrol sunucusu ile olan bütün iletişimi şifreli bir şekilde sağlayan zararlı yazılımdır.

Özet

Bu analiz 2016 yılından beri aktif olan ve fazlasıyla yetenekli olan Formbook zararlısını anlatmaya yöneliktir. Formbook, oltalama maillerinin ekinde bulunan zararlı ofis dosyası veya pdf dosyası ile yayılıyor. Bu dosyaların içerisine gömülü olan diğer dosyalarla beraber bir zincir oluşturulup asıl zararlı sisteme yüklemek için gerekli adımları takip ediyor. Bu zararlı dosyaların 2017 yılında yayınlan CVE-2017-0199 ve CVE-2017-11882 zafiyetlerini sömürdüğü ve zararlı işlemlere devam ettiği görülüyor. Formbook zararlısını sisteme yüklenip, çalıştırıldıktan sonra kontrol sunucusuna verilerin aktarıldığını görüyoruz. Sürecin genel özetini aşağıdaki görselde bulabilirsiniz.



Temel Bilgiler

Bu bölümde sürecin içerisinde kullanılan dosyalara ait temel bilgiler verilecektir.

STMORDER-442799.pdf
MD5
112d121f0a7af659356041507b36d25d
SHA-1
5b76b7b05495073397ac25fb82440f6148e3737b
SHA-256
8f859c1a9965427848315e9456237e9c018b487e3bd1d632bce2acd0c370341e
Dosya boyutu
30.92 KB
Dosya türü
PDF


 
STMORDER-442799.dotm
MD5
3e5748bd1b77bce17e3ccd1732d1c0df
SHA-1
c2b9e0545ddc843f3bfc27d72e64bb0d4e1ef80c
SHA-256
04f093a3b867918dce921fe2ba40dcdae769b35dbce3047aacdb151e2208ea5c
Dosya boyutu
9.91 KB
Dosya türü
Office Open XML Document


 
formbook.exe
MD5
653922d5e914eb7e6d906a083d930e29
SHA-1
2eca7643ef603dda09958a11060320540e2cc6ac
SHA-256
C2bbec7eb5efc46c21d5950bb625c02ee96f565d2b8202733e784e6210679db9
Dosya boyutu
151 KB
Dosya türü
PE32 çalıştırılabilir dosyası

 

Analiz

Oltalama mailinin ekinde bulunan pdf dosyasını açtığımızda, pdf dosyasının içerisinde mine001.dotm isimli bir dosya bulunduğunu ve bu dosyanın zararlı olabileceğine dair bir uyarı alıyoruz.

Bu uyarıya aldırış etmeyip dosyayı aç dediğimizde, Microsoft Office Word programının açıldığını ve downloading (indiriliyor) yazısını görüyoruz. 


Artık bir şeylerden şüphelenmeye başlayabiliriz. Bu reaksiyonların en başına dönüp pdf dosyasını analiz etmeye çalışalım. Maldoc ( zararlı işlerde kullanılan word/office/pdf dosyaları) analizi yaparken genelde Remnux[2] isimli linux distrosunu kullanıyorum. İşe yarayan birçok araç bu distro’da hazır halde kullanımımıza sunuluyor.
Peepdf komutuyla şüpheli pdf dosyasına bakalım. Peepdf, pdf dosyalarının analizi için python ile yazılmış bir araçtır. peepdf STMORDER-442799.pdf komutunu kullanarak analize başlıyoruz. Aşağıdaki görselde de görüleceği üzere bize şüphe çeken kısımları belirtiyor. Bunların içerisinde bir tane gömülü dosya, javascript betiği ve şüpheli fonksiyon kullanımları görüyoruz.


Pdf dosyalarının içerisindeki elemanları çıkartmak için pdfextract isimli bir aracı kullanacağız. pdfextract STMORDER-442799.pdf komutunu çalıştırdığımız zaman aşağıdaki çıktıyı alıyoruz.

Dosyaları incelediğimiz zaman ilgimizi mine001.dotm ve bir adet javascript kodu buluyoruz. Javascript dosyasına baktığımızda tek satırdan oluşan mine001.dotm dosyasını çıkarmaya yaran kod parçacığını görüyoruz.

Sıra mine001.dotm dosyasına bakmaya geldi. Dotm dosya uzantısı, Microsoft Word için oluşturulan şablonlar için kullanılır. Bu dosyayı incelediğimiz zaman CVE-2017-0199 zafiyetini sömürerek, internetteki bir sunucudan zararlı rtf dosyasını indirmeye çalıştığını görüyoruz. CVE-2017-0199 zafiyeti Microsoft Office 2007 SP3, Microsoft Office 2010 SP2, Microsoft Office 2013 SP1, Microsoft Office 2016, Microsoft Windows Vista SP2, Windows Server 2008 SP2, Windows 7 SP1, Windows 8.1 sistemlerde özel olarak hazırlanan dokümanlarla saldırgana uzaktan kod çalıştırma yetkisi veriyor. Dosyayı incelemeye devam edelim. Dosyayı unzip komutu yardımıyla çıkartıyoruz. İçerisinden çıkanlar aşağıda görünüyor.
Word/_rels klasörünün içerisinde bulunan document.xml.rels isimli dosyayı incelediğimiz zaman ilgi çekici şeyler buluyoruz.

Hxxps://ponf.pyonon.moe/cgvsc.doc isimli url gözümüze çarpıyor. Yukarıda bahsedilen CVE-2017-0199 zafiyeti burada dokümandaki Relationship özelliği üzerinden istismar ediliyor. Bu adresdeki dosyaya erişimimiz olmadığı için inceleyemedim. Yapılan araştırmalar gösteriyor ki indirilen dosya RTF dosyası ve CVE-2017-11882 zafiyetini sömürerek Formbook zararlısının asıl çalıştırılabilir dosyasını indiriyor ve işlemlerine devam ediyor.
Zararlıyı Detect It Easy aracı ile incelediğimiz zaman herhangi bilinen bir packing (tersine mühendislik işlemini zorlaştıran işlem, dosyayı paketleyip içerisindeki gizlemek gibi düşünebiliriz.) olmadığını ve MASM ile derlendiğini görüyoruz.

Packing olmadığını bildiğimiz bu dosyada, başka anti-tersine mühendislik işlemleri yapıldığını görüyoruz. Strings ve imports kısmına baktığımızda boş gözüküyor. Strings komutu ile içerisine baktığımızda anlam çıkarabileceğimiz bir string göremiyoruz.

IDA’da ki stringler


IDA’da ki importlar

Strings komutunun çıktısı bir bölümü

Stringlerin şifrelenmiş olduğunu ve bu şifreleme fonksiyonlarına gitmek için ayrı bir yöntem kullanıldığını görüyoruz. Bu yöntemde fonksiyonun veya şifrelenmiş buffer’ı çağırmak yerine ona başka bir fonksiyon yardımıyla ulaşıldığını ve gerekli işlemlerin yapıldığını görüyoruz.
 
Bunun dışında Windows API çağrılarının stringlerin hash’i üzerinden yapıldığını görüyoruz. Bunun için CRC32 hash algoritması kullanılıyor. Örnek vermek gerekirse “NtCreateProcessEx” fonksiyonunu çağırmak için 0xf653b199L hex kodlu stringi bulup, ona denk düşen değeri çağırıyor.
Anti-analiz işlemlerinin dışında, asıl görevi olan veri hırsızlığı için hxxp://www.bella-bg.com/private/
adresiyle iletişime geçiyor. Kontrol sunucusu bella-bg.com diyebiliriz. Analizi yaparken bu adresler kapatıldığı için aradaki iletişim hakkında şimdilik bir bilgim yok.
Daha önce yapılan araştırmalara göre, Formbook topladığı bilgileri RC4 şifreleme algoritması ile şifreleyerek, kontrol sunucusuna POST isteği ile yolluyor[3].


Öneriler

  • Bilinçlenmek en büyük önlemlerden biridir. Gündemi takip edebilecek kadar bilgi çok şey değiştirebilir.
  • Şirketiniz için güvenlik politikası oluşturabilirsiniz.
  • Bilmediğiniz kaynaklardan gelen dosyaları açmayın. Formbook zararlısının yayılırken kullandığı yöntem zararsız gözüken dokümanları yaymaktır.
  • Güvenmediğiniz dosyaları çevrimiçi araçlarla(VirusTotal, hybrid-analysis vb.) kolayca analiz
    edip, ondan sonra çalıştırabilirsiniz.
  • Güvenilir antivürs programları kullanabilirsiniz.
  • Domain-Based Message Authentication, Reporting & Conformance (DMARC) sistemi
    kurularak kuruma gelen spam mailleri en aza indirebilirsiniz[4].

Formbook Zararlısının Tespiti İçin Uygulanabilecek SIGMA Kuralı

title: Formbook
description: Detect malicious activities of Formbook stealer
author: Burak ÇARIKÇI
references:
- https://blog.talosintelligence.com/2018/06/my-little-formbook.html
- https://thisissecurity.stormshield.com/2018/03/29/in-depth-formbook-malware-analysis-obfuscation-and-process-injection/
date: 26/04/2019
status: testing
logsource:
product: proxy
detection:
selection1:
r-dns:
- ponf.pyonon.moe
condition: selection1
logsource:
product: windows
service: sysmon
detection:
selection2:
EventID: 1
ParentImage:
- '*\WINWORD.EXE'
Image:
- '*\cmd.exe'
selection3:
EventID: 8
TargetProcesName: 'explorer.exe'
condition: selection2 and selection3
falsepositives:
- Unknown
level: medium
mitre-attack:
Initial Access:
- Spearphishing Attachment
Execution:
- User Execution
Defence Evasion:
- Process Hollowing
- Process Injection
Credential Access:
- Hooking
Command and Control:
- Data Obfuscation




Kaynakça

  1. Significant FormBook Distribution Campaigns Impacting the U.S. and South Korea: https://www.fireeye.com/blog/threat-research/2017/10/formbook-malware-distribution-campaigns.html
  2. Remnux distrosu: https://remnux.org
  3. FORMBOOK - In-depth malware analysis: https://www.botconf.eu/wp-content/uploads/2018/12/2018-R-Jullian-In-depth-Formbook-Malware-Analysis.pdf
  4. DMARC: https://en.wikipedia.org/wiki/DMARC
  5. İncelenen pdf dosyasının VirusTotal sonucu: https://www.virustotal.com/gui/file/8f859c1a9965427848315e9456237e9c018b487e3bd1d632bce2acd0c370341e/detection
  6. İncelenen dotm dosyasının VirusTotal sonucu: https://www.virustotal.com/gui/file/04f093a3b867918dce921fe2ba40dcdae769b35dbce3047aacdb151e2208ea5c/




Yorumlar

Bu blogdaki popüler yayınlar

1. Geleneksel Stajyer CTF Soru ve Cevapları

2. Geleneksel Stajyer CTF Soru ve Cevapları - 2017

Saldırı Tespit Sistemlerinde Derin Öğrenme Yaklaşımı - 2