PlugX Zararlı Analizi ve Uygulanabilecekler

PlugX

PlugX 2012 yılından beri kullanılan zararlı yazılımdır. Daha önce DragonOK, APT3 gibi gruplar tarafından çok fazla kullanılmıştır. PlugX bir RAT (remote access tool) olup, devlet kurumlarına ve büyük şirketlere yapılan siber saldırılarda kullanıldığını görüyoruz. RAT, kullanıcıların sistemlere, fiziksel erişimi olmadan,uzaktan erişmesine olanak sağlayan yazılım türüdür. RAT grubundaki yazılımların hepsi zararlı olmayıp, normal kullanımı bulunan RAT araçları bulunmaktadır. APT grupları RAT yazılımlarını sistemlere erişim sağlayıp istediklerini yapmak için kullanıyorlar.

Özet

Bu yazıda PlugX zararlısının ne olduğunun nasıl yayıldığının ve neler yaptığının cevaplarını arayacağız. PlugX spearphishing maillerindeki zararlı eklerle yayılıp, ofis programlarında bulunan spesifik güvenlik zafiyetlerini (CVE-2013-3906, CVE-2012-0158 vb.) kullanarak sisteme bulaşıyor. Sisteme bulaştıktan sonra 3 ana dosyanın kullanıldığını görüyoruz. İlk dosya XOR’lanmış ve sıkıştırılmış olan dll dosyası, ikincisi ilk dll’in enjekte etmesi sonucu oluşan dll, sonuncusu ise imzalı olan çalıştırılabilir dosya. PlugX çalıştıktan sonra C&C sunucusu ile iletişim kurup RAT işlemlerine başlıyor. Aşağıdaki görselde bu zararlının hareketlerini özetlemeye çalıştım.

 

Temel Bilgiler

Aşağıda verilen dosyalar PlugX_RTF_dropper, Gadget.exe, SideBar.dll.doc, SideBar.dll olarak isimlendirilmiştir.
 
PlugX_RTF_dropper
MD5
42fba80f105aa53dfbf50aeba2d73cae
SHA-1
A49b135a66afba5713936d4758ca5d40f19b9e71
SHA-256
ac7d02465d0b1992809e16aaae2cd779470a99e0860c4d8a2785d97ce988667b
SSDEEP
6144:h5LReC+jODUJ6aCujPjtNbShm6YNYa2Zg3:h5o3jOU6aCCtw8p
Dosya türü
Rich Text Format
Dosya boyutu
507.97 KB




 
Gadget.exe
MD5
6b97b3cd2fcfb4b74985143230441463
SHA-1
8985c2394ed9a58c36f907962b0724fe66c204a6
SHA-256
5c859ca16583d660449fb044677c128a9cdedd603d9598d4670235c52e359bf9
SSDEEP
192:HULB0P1oynsSW42fyu335/wJirNmL/8Qpkqs1Iu55+ebCfN54U6Gn:0Fa1GwK3mirILu1vPbCzvn
Dosya türü
Win32 EXE
Dosya boyutu
25.5 KB


 
SideBar.dll.doc
MD5
97c11e7d6b1926cd4be13804b36239ac
SHA-1
b388b86a782ae14fee2a31bc7626a816c3eabc5a
SHA-256
a13161d957ef1bf6362cbc488a82ffca8f6f52f48143f1110616b9c540e5997a
SSDEEP
3072:HLIKbEN2HSKjZNPH4cGHk51Kk+u5arueqFl8sLT:HkKgN8/RH4hHk5gUUYFl8o
Dosya türü
Bilinmiyor
Dosya boyutu
121.81 KB



 
SideBar.dll
MD5
901fa02ffd43de5b2d7c8c6b8c2f6a43
SHA-1
8bb71adf1c418061510c40240852c3cd61fb214c
SHA-256
3144079c68ba00cebfd05239a2f5bd406096ec02e13e8571ca24313df7a5b679
SSDEEP
768:fQ+il+psGX0QEohGEVZ/E2G7k14rQMRkoIQ:fxiYVjE4VZ/ZWRkoI
Dosya türü
Win32 DLL
Dosya boyutu
41 KB



 

Sistemde neler yapıyor?

Spearphishing mailleri ile yayılan PlugX zararlısı, bu maillerde bulunan zararlı dokümanlar aracılığıyla yayılıyor.

 
Ekteki dosyalar genel olarak CVE-2013-3906, CVE-2012-0158 veya sömürülmüş Icharito dokümanı oluyor. Dosyaların açılıp, zafiyetlerin sömürülmesiyle beraber PlugX’i oluşturan asıl dosyalar oluşuyor. Bu aşamadan sonra 3 adet dosyayla ilgileneceğiz. Sidebar_dll.doc dosyası XOR’lanmış ve sıkıştırılmış bir şekilde bulunuyor.



  Bu dosya daha sonra gerekli işlemleri yapıp sidebar.dll dosyasına kendini enjekte ediyor.



Sidebar.dll içerisinde analizi zorlaştırmak için bazı anti-analiz yöntemleri kullanılıyor. En çok kullanılan anti-analiz yöntemlerinden biri olan IsDebugger fonksiyonunun kullanıldığını görüyoruz. Bunun yanı sıra import ettiği fonksiyonlardan şüphe uyandıranlarda var.




PlugX’in incelediğimiz örneğinin yaptığı ağ bağlantıları aşağıdaki görselde görülmektedir.






 
Aşağıdaki tabloda PlugX zararlısının kabiliyetleri verilmiştir.

 
Kabiliyetler
Bilgisayar adı
Kullanıcı adı
İşlemci bilgileri
Kullanıcı grubu
Hafıza bilgileri
İşletim sistemi versiyonu
Zaman dilimi



PlugX’in Tespiti için Uygulanabilecek SIGMA Kuralı

title: PlugX
description: Detect PlugX RAT
references:
| - https://www.sophos.com/en-us/medialibrary/pdfs/technical%20papers/plugx-thenextgeneration.pdf
tags:
- attack.t1059
- attack.t1043
- attack.t1093
- attack.t1073
- attack.t1127
- attack.t1026
author: Burak ÇARIKÇI
date: 2017/06/12
logsource:
product: windows
service: sysmon
detection:
gadget:
EventID: 1
Image: '*\Gadget.exe'
sidebar_dll.doc:
EventID: 1
Image: '*\sidebardll.doc'
sidebar.dll:
EventID: 1
Image: '*\sidebar.dll'
condition: gadget or sidebardll.doc
network_filter:
EventID: 3
Destination_ip:
- fast.bacguarp.com
- 128.199.76.241

fields:
- CommandLine
- ParentCommandLine
falsepositives:
- Unknown
status: experimental
level: high

Öneriler

  • Bilinçlenmek en büyük önlemlerden biridir. Gündemi takip edebilecek kadar bilgi çok şey
    değiştirebilir.
  • Şirketiniz için güvenlik politikası oluşturabilirsiniz.
  • Bilmediğiniz kaynaklardan gelen dosyaları açmayın. PlugX zararlısının yayılırken kullandığı
    yöntem zararsız gözüken dokümanları yaymaktır.
  • Güvenmediğiniz dosyaları çevrimiçi araçlarla (VirusTotal, hybrid-analysis vb.) kolayca analiz
    edip, ondan sonra çalıştırabilirsiniz.
  • Güvenilir antivürs programları kullanabilirsiniz.
  • Sadece güvendiğiniz ofis dokümanlarının makrolarını çalıştırınız.

Kaynakça

  1. PlugX – The Next Generation: https://www.sophos.com/en-us/medialibrary/pdfs/technical%20papers/plugx-thenextgeneration.pdf
  2. PlugX: some uncovered points: http://blog.airbuscybersecurity.com/post/2014/01/plugx-some-uncovered-points.html
  3. PlugX APT Malware: https://community.rsa.com/thread/185439
  4. Temel bilgilerde verilen dosyaları VirusTotal sonuçları
    1. PlugX_RTF_dropper : https://www.virustotal.com/gui/file/ac7d02465d0b1992809e16aaae2cd779470a99e0860c4d8a2785d97ce988667b/detection
    2. Gadget.exe: https://www.virustotal.com/gui/file/5c859ca16583d660449fb044677c128a9cdedd603d9598d4670235c52e359bf9/detection
    3. Sidebar.dll.doc: https://www.virustotal.com/gui/file/a13161d957ef1bf6362cbc488a82ffca8f6f52f48143f1110616b9c540e5997a/detection
    4. Sidebar.dll: https://www.virustotal.com/gui/file/3144079c68ba00cebfd05239a2f5bd406096ec02e13e8571ca24313df7a5b679
  5. DLL Search Order Hijacking: https://attack.mitre.org/techniques/T1038/



Yorumlar

Bu blogdaki popüler yayınlar

1. Geleneksel Stajyer CTF Soru ve Cevapları

B*-Tree (BTree, BPlusTree) Veri Yapısı ile Veri İndeksleme

2. Geleneksel Stajyer CTF Soru ve Cevapları - 2017