Formbook Zararlı Analizi ve Alınması Gereken Önlemler
Genel Bakış
Bulut teknolojilerinin gelişmesiyle beraber servis
olarak verilen hizmetlerin sayısında da büyük bir artış
gözlemleniyor. Bu furyaya zararlı yazılımlarda ayak uydurmaya
başladı. Malware-as-a-service olarak dağıtılan zararlı
yazılımlarda, belirli bir panel üzerinden istediğiniz özelliklere
ve istediğiniz süreye göre ödemeyi yapıp, zararlı yazılımı
satın alabiliyorsunuz. Formbook, bu yöntemle çalışan bir veri
hırsızı (stealer) zararlısıdır. Genel amacı kurbanın
parolalarını ve verilerini çalmaktır. Formbook zararlısının
internette reklamları bulunmaktadır[1].
Görsellerde
de görüldüğü üzere haftalık/aylık/3 aylık ve pro
versiyonları satılıyor. Formbook, Assembly ve C ile yazılmış,
tarayıcılardan parolaları ve verileri kopyalama yetenekleri olan,
kontrol sunucusu ile olan bütün iletişimi şifreli bir şekilde
sağlayan zararlı yazılımdır.
Özet
Bu
analiz 2016 yılından beri aktif olan ve fazlasıyla yetenekli olan
Formbook zararlısını anlatmaya yöneliktir. Formbook, oltalama
maillerinin ekinde bulunan zararlı ofis dosyası veya pdf dosyası
ile yayılıyor. Bu dosyaların içerisine gömülü olan diğer
dosyalarla beraber bir zincir oluşturulup asıl zararlı sisteme
yüklemek için gerekli adımları takip ediyor. Bu zararlı
dosyaların 2017 yılında yayınlan CVE-2017-0199 ve CVE-2017-11882
zafiyetlerini sömürdüğü ve zararlı işlemlere devam ettiği
görülüyor. Formbook zararlısını sisteme yüklenip,
çalıştırıldıktan sonra kontrol sunucusuna verilerin
aktarıldığını görüyoruz. Sürecin genel özetini aşağıdaki
görselde bulabilirsiniz.
Temel Bilgiler
Bu bölümde sürecin içerisinde kullanılan dosyalara ait temel
bilgiler verilecektir.
STMORDER-442799.pdf
|
|
MD5
|
112d121f0a7af659356041507b36d25d
|
SHA-1
|
5b76b7b05495073397ac25fb82440f6148e3737b
|
SHA-256
|
8f859c1a9965427848315e9456237e9c018b487e3bd1d632bce2acd0c370341e
|
Dosya
boyutu
|
30.92
KB
|
Dosya
türü
|
PDF
|
STMORDER-442799.dotm
|
|
MD5
|
3e5748bd1b77bce17e3ccd1732d1c0df
|
SHA-1
|
c2b9e0545ddc843f3bfc27d72e64bb0d4e1ef80c
|
SHA-256
|
04f093a3b867918dce921fe2ba40dcdae769b35dbce3047aacdb151e2208ea5c
|
Dosya
boyutu
|
9.91
KB
|
Dosya
türü
|
Office
Open XML Document
|
formbook.exe
|
|
MD5
|
653922d5e914eb7e6d906a083d930e29
|
SHA-1
|
2eca7643ef603dda09958a11060320540e2cc6ac
|
SHA-256
|
C2bbec7eb5efc46c21d5950bb625c02ee96f565d2b8202733e784e6210679db9
|
Dosya
boyutu
|
151
KB
|
Dosya
türü
|
PE32
çalıştırılabilir dosyası
|
Analiz
Oltalama mailinin ekinde bulunan pdf dosyasını açtığımızda,
pdf dosyasının içerisinde mine001.dotm isimli bir dosya
bulunduğunu ve bu dosyanın zararlı olabileceğine dair bir uyarı
alıyoruz.
Bu
uyarıya aldırış etmeyip dosyayı aç dediğimizde, Microsoft
Office Word programının açıldığını ve downloading
(indiriliyor) yazısını görüyoruz.
Artık bir şeylerden şüphelenmeye başlayabiliriz. Bu
reaksiyonların en başına dönüp pdf dosyasını analiz etmeye
çalışalım. Maldoc ( zararlı işlerde kullanılan word/office/pdf
dosyaları) analizi yaparken genelde Remnux[2] isimli
linux distrosunu kullanıyorum. İşe yarayan birçok araç bu
distro’da hazır halde kullanımımıza sunuluyor.
Peepdf komutuyla şüpheli pdf dosyasına bakalım. Peepdf, pdf
dosyalarının analizi için python ile yazılmış bir araçtır.
peepdf STMORDER-442799.pdf
komutunu kullanarak analize başlıyoruz. Aşağıdaki görselde de
görüleceği üzere bize şüphe çeken kısımları belirtiyor.
Bunların içerisinde bir
tane gömülü dosya,
javascript betiği ve
şüpheli fonksiyon kullanımları görüyoruz.
Pdf dosyalarının içerisindeki elemanları çıkartmak için
pdfextract isimli bir aracı kullanacağız. pdfextract
STMORDER-442799.pdf komutunu çalıştırdığımız
zaman aşağıdaki çıktıyı alıyoruz.
Dosyaları
incelediğimiz zaman ilgimizi mine001.dotm ve bir adet javascript
kodu buluyoruz. Javascript dosyasına baktığımızda tek satırdan
oluşan mine001.dotm dosyasını çıkarmaya yaran kod parçacığını
görüyoruz.
Sıra
mine001.dotm dosyasına bakmaya geldi. Dotm dosya uzantısı,
Microsoft Word için oluşturulan şablonlar için kullanılır. Bu
dosyayı incelediğimiz zaman CVE-2017-0199 zafiyetini sömürerek,
internetteki bir sunucudan zararlı rtf dosyasını indirmeye
çalıştığını görüyoruz. CVE-2017-0199 zafiyeti Microsoft
Office 2007 SP3, Microsoft Office 2010 SP2, Microsoft Office 2013
SP1, Microsoft Office 2016, Microsoft Windows Vista SP2, Windows
Server 2008 SP2, Windows 7 SP1, Windows 8.1 sistemlerde özel olarak
hazırlanan dokümanlarla saldırgana uzaktan kod çalıştırma
yetkisi veriyor. Dosyayı incelemeye devam edelim. Dosyayı unzip
komutu yardımıyla çıkartıyoruz. İçerisinden çıkanlar aşağıda
görünüyor.
Word/_rels klasörünün içerisinde bulunan document.xml.rels
isimli dosyayı incelediğimiz zaman ilgi çekici şeyler buluyoruz.
Hxxps://ponf.pyonon.moe/cgvsc.doc
isimli url gözümüze çarpıyor. Yukarıda bahsedilen CVE-2017-0199
zafiyeti burada dokümandaki Relationship özelliği üzerinden
istismar ediliyor. Bu adresdeki dosyaya erişimimiz olmadığı için
inceleyemedim. Yapılan araştırmalar gösteriyor ki indirilen dosya
RTF dosyası ve CVE-2017-11882 zafiyetini sömürerek Formbook
zararlısının asıl çalıştırılabilir dosyasını indiriyor ve
işlemlerine devam ediyor.
Zararlıyı
Detect It Easy aracı ile incelediğimiz zaman herhangi bilinen bir
packing (tersine mühendislik işlemini zorlaştıran işlem, dosyayı
paketleyip içerisindeki gizlemek gibi düşünebiliriz.) olmadığını
ve MASM ile derlendiğini görüyoruz.
Packing
olmadığını bildiğimiz bu dosyada, başka anti-tersine
mühendislik işlemleri yapıldığını görüyoruz. Strings ve
imports kısmına baktığımızda boş gözüküyor. Strings komutu
ile içerisine baktığımızda anlam çıkarabileceğimiz bir string
göremiyoruz.
IDA’da ki stringler
Strings komutunun çıktısı bir bölümü
Stringlerin şifrelenmiş olduğunu ve bu şifreleme fonksiyonlarına
gitmek için ayrı bir yöntem kullanıldığını görüyoruz. Bu
yöntemde fonksiyonun veya şifrelenmiş buffer’ı çağırmak
yerine ona başka bir fonksiyon yardımıyla ulaşıldığını ve
gerekli işlemlerin yapıldığını görüyoruz.
Bunun dışında Windows API çağrılarının stringlerin hash’i
üzerinden yapıldığını görüyoruz. Bunun için CRC32 hash
algoritması kullanılıyor. Örnek vermek gerekirse
“NtCreateProcessEx” fonksiyonunu çağırmak için 0xf653b199L
hex kodlu stringi bulup, ona denk düşen değeri çağırıyor.
Anti-analiz işlemlerinin dışında, asıl görevi
olan veri hırsızlığı için
hxxp://www.bella-bg.com/private/
adresiyle iletişime geçiyor. Kontrol sunucusu bella-bg.com diyebiliriz. Analizi yaparken bu adresler kapatıldığı için aradaki iletişim hakkında şimdilik bir bilgim yok.
adresiyle iletişime geçiyor. Kontrol sunucusu bella-bg.com diyebiliriz. Analizi yaparken bu adresler kapatıldığı için aradaki iletişim hakkında şimdilik bir bilgim yok.
Daha önce yapılan araştırmalara göre, Formbook
topladığı bilgileri RC4 şifreleme algoritması ile şifreleyerek,
kontrol sunucusuna POST isteği ile yolluyor[3].
Öneriler
- Bilinçlenmek en büyük önlemlerden biridir. Gündemi takip
edebilecek kadar bilgi çok şey değiştirebilir.
- Şirketiniz için güvenlik politikası oluşturabilirsiniz.
- Bilmediğiniz kaynaklardan gelen dosyaları açmayın.
Formbook zararlısının yayılırken kullandığı yöntem zararsız
gözüken dokümanları yaymaktır.
- Güvenmediğiniz dosyaları çevrimiçi araçlarla(VirusTotal,
hybrid-analysis vb.) kolayca analiz
edip, ondan sonra çalıştırabilirsiniz.
- Güvenilir antivürs programları kullanabilirsiniz.
- Domain-Based Message Authentication, Reporting &
Conformance (DMARC) sistemi
kurularak kuruma gelen spam mailleri en aza indirebilirsiniz[4].
Formbook Zararlısının Tespiti İçin Uygulanabilecek SIGMA Kuralı
title: Formbook
description: Detect malicious activities of
Formbook stealer
author: Burak ÇARIKÇI
references:
-
https://blog.talosintelligence.com/2018/06/my-little-formbook.html
-
https://thisissecurity.stormshield.com/2018/03/29/in-depth-formbook-malware-analysis-obfuscation-and-process-injection/
date: 26/04/2019
status: testing
logsource:
product: proxy
detection:
selection1:
r-dns:
- ponf.pyonon.moe
condition: selection1
logsource:
product: windows
service: sysmon
detection:
selection2:
EventID: 1
ParentImage:
- '*\WINWORD.EXE'
Image:
- '*\cmd.exe'
selection3:
EventID: 8
TargetProcesName: 'explorer.exe'
condition: selection2 and selection3
falsepositives:
- Unknown
level: medium
mitre-attack:
Initial Access:
- Spearphishing Attachment
Execution:
- User Execution
Defence Evasion:
- Process Hollowing
- Process Injection
Credential Access:
- Hooking
Command and Control:
- Data Obfuscation
Kaynakça
- Significant FormBook Distribution Campaigns Impacting the
U.S. and South Korea:
https://www.fireeye.com/blog/threat-research/2017/10/formbook-malware-distribution-campaigns.html
- Remnux distrosu: https://remnux.org
- FORMBOOK - In-depth malware analysis:
https://www.botconf.eu/wp-content/uploads/2018/12/2018-R-Jullian-In-depth-Formbook-Malware-Analysis.pdf
- DMARC: https://en.wikipedia.org/wiki/DMARC
- İncelenen pdf dosyasının VirusTotal sonucu:
https://www.virustotal.com/gui/file/8f859c1a9965427848315e9456237e9c018b487e3bd1d632bce2acd0c370341e/detection
- İncelenen dotm dosyasının VirusTotal sonucu:
https://www.virustotal.com/gui/file/04f093a3b867918dce921fe2ba40dcdae769b35dbce3047aacdb151e2208ea5c/
- Formbook zararlısının VirusTotal sonucu: https://www.virustotal.com/gui/file/c2bbec7eb5efc46c21d5950bb625c02ee96f565d2b8202733e784e6210679db9/detection
Yorumlar
Yorum Gönder