PlugX Zararlı Analizi ve Uygulanabilecekler

PlugX

PlugX 2012 yılından beri kullanılan zararlı yazılımdır. Daha önce DragonOK, APT3 gibi gruplar tarafından çok fazla kullanılmıştır. PlugX bir RAT (remote access tool) olup, devlet kurumlarına ve büyük şirketlere yapılan siber saldırılarda kullanıldığını görüyoruz. RAT, kullanıcıların sistemlere, fiziksel erişimi olmadan,uzaktan erişmesine olanak sağlayan yazılım türüdür. RAT grubundaki yazılımların hepsi zararlı olmayıp, normal kullanımı bulunan RAT araçları bulunmaktadır. APT grupları RAT yazılımlarını sistemlere erişim sağlayıp istediklerini yapmak için kullanıyorlar.

Özet

Bu yazıda PlugX zararlısının ne olduğunun nasıl yayıldığının ve neler yaptığının cevaplarını arayacağız. PlugX spearphishing maillerindeki zararlı eklerle yayılıp, ofis programlarında bulunan spesifik güvenlik zafiyetlerini (CVE-2013-3906, CVE-2012-0158 vb.) kullanarak sisteme bulaşıyor. Sisteme bulaştıktan sonra 3 ana dosyanın kullanıldığını görüyoruz. İlk dosya XOR’lanmış ve sıkıştırılmış olan dll dosyası, ikincisi ilk dll’in enjekte etmesi sonucu oluşan dll, sonuncusu ise imzalı olan çalıştırılabilir dosya. PlugX çalıştıktan sonra C&C sunucusu ile iletişim kurup RAT işlemlerine başlıyor. Aşağıdaki görselde bu zararlının hareketlerini özetlemeye çalıştım.

 

Temel Bilgiler

Aşağıda verilen dosyalar PlugX_RTF_dropper, Gadget.exe, SideBar.dll.doc, SideBar.dll olarak isimlendirilmiştir.
 
PlugX_RTF_dropper
MD5
42fba80f105aa53dfbf50aeba2d73cae
SHA-1
A49b135a66afba5713936d4758ca5d40f19b9e71
SHA-256
ac7d02465d0b1992809e16aaae2cd779470a99e0860c4d8a2785d97ce988667b
SSDEEP
6144:h5LReC+jODUJ6aCujPjtNbShm6YNYa2Zg3:h5o3jOU6aCCtw8p
Dosya türü
Rich Text Format
Dosya boyutu
507.97 KB




 
Gadget.exe
MD5
6b97b3cd2fcfb4b74985143230441463
SHA-1
8985c2394ed9a58c36f907962b0724fe66c204a6
SHA-256
5c859ca16583d660449fb044677c128a9cdedd603d9598d4670235c52e359bf9
SSDEEP
192:HULB0P1oynsSW42fyu335/wJirNmL/8Qpkqs1Iu55+ebCfN54U6Gn:0Fa1GwK3mirILu1vPbCzvn
Dosya türü
Win32 EXE
Dosya boyutu
25.5 KB

 
SideBar.dll.doc
MD5
97c11e7d6b1926cd4be13804b36239ac
SHA-1
b388b86a782ae14fee2a31bc7626a816c3eabc5a
SHA-256
a13161d957ef1bf6362cbc488a82ffca8f6f52f48143f1110616b9c540e5997a
SSDEEP
3072:HLIKbEN2HSKjZNPH4cGHk51Kk+u5arueqFl8sLT:HkKgN8/RH4hHk5gUUYFl8o
Dosya türü
Bilinmiyor
Dosya boyutu
121.81 KB



 
SideBar.dll
MD5
901fa02ffd43de5b2d7c8c6b8c2f6a43
SHA-1
8bb71adf1c418061510c40240852c3cd61fb214c
SHA-256
3144079c68ba00cebfd05239a2f5bd406096ec02e13e8571ca24313df7a5b679
SSDEEP
768:fQ+il+psGX0QEohGEVZ/E2G7k14rQMRkoIQ:fxiYVjE4VZ/ZWRkoI
Dosya türü
Win32 DLL
Dosya boyutu
41 KB



 

Sistemde neler yapıyor?

Spearphishing mailleri ile yayılan PlugX zararlısı, bu maillerde bulunan zararlı dokümanlar aracılığıyla yayılıyor.

 
Ekteki dosyalar genel olarak CVE-2013-3906, CVE-2012-0158 veya sömürülmüş Icharito dokümanı oluyor. Dosyaların açılıp, zafiyetlerin sömürülmesiyle beraber PlugX’i oluşturan asıl dosyalar oluşuyor. Bu aşamadan sonra 3 adet dosyayla ilgileneceğiz. Sidebar_dll.doc dosyası XOR’lanmış ve sıkıştırılmış bir şekilde bulunuyor.



  Bu dosya daha sonra gerekli işlemleri yapıp sidebar.dll dosyasına kendini enjekte ediyor.



Sidebar.dll içerisinde analizi zorlaştırmak için bazı anti-analiz yöntemleri kullanılıyor. En çok kullanılan anti-analiz yöntemlerinden biri olan IsDebugger fonksiyonunun kullanıldığını görüyoruz. Bunun yanı sıra import ettiği fonksiyonlardan şüphe uyandıranlarda var.




PlugX’in incelediğimiz örneğinin yaptığı ağ bağlantıları aşağıdaki görselde görülmektedir.






 
Aşağıdaki tabloda PlugX zararlısının kabiliyetleri verilmiştir.

 
Kabiliyetler
Bilgisayar adı
Kullanıcı adı
İşlemci bilgileri
Kullanıcı grubu
Hafıza bilgileri
İşletim sistemi versiyonu
Zaman dilimi



PlugX’in Tespiti için Uygulanabilecek SIGMA Kuralı

title: PlugX
description: Detect PlugX RAT
references:
| - https://www.sophos.com/en-us/medialibrary/pdfs/technical%20papers/plugx-thenextgeneration.pdf
tags:
- attack.t1059
- attack.t1043
- attack.t1093
- attack.t1073
- attack.t1127
- attack.t1026
author: Burak ÇARIKÇI
date: 2017/06/12
logsource:
product: windows
service: sysmon
detection:
gadget:
EventID: 1
Image: '*\Gadget.exe'
sidebar_dll.doc:
EventID: 1
Image: '*\sidebardll.doc'
sidebar.dll:
EventID: 1
Image: '*\sidebar.dll'
condition: gadget or sidebardll.doc
network_filter:
EventID: 3
Destination_ip:
- fast.bacguarp.com
- 128.199.76.241

fields:
- CommandLine
- ParentCommandLine
falsepositives:
- Unknown
status: experimental
level: high

Öneriler

  • Bilinçlenmek en büyük önlemlerden biridir. Gündemi takip edebilecek kadar bilgi çok şey
    değiştirebilir.
  • Şirketiniz için güvenlik politikası oluşturabilirsiniz.
  • Bilmediğiniz kaynaklardan gelen dosyaları açmayın. PlugX zararlısının yayılırken kullandığı
    yöntem zararsız gözüken dokümanları yaymaktır.
  • Güvenmediğiniz dosyaları çevrimiçi araçlarla (VirusTotal, hybrid-analysis vb.) kolayca analiz
    edip, ondan sonra çalıştırabilirsiniz.
  • Güvenilir antivürs programları kullanabilirsiniz.
  • Sadece güvendiğiniz ofis dokümanlarının makrolarını çalıştırınız.

Kaynakça

  1. PlugX – The Next Generation: https://www.sophos.com/en-us/medialibrary/pdfs/technical%20papers/plugx-thenextgeneration.pdf
  2. PlugX: some uncovered points: http://blog.airbuscybersecurity.com/post/2014/01/plugx-some-uncovered-points.html
  3. PlugX APT Malware: https://community.rsa.com/thread/185439
  4. Temel bilgilerde verilen dosyaları VirusTotal sonuçları
    1. PlugX_RTF_dropper : https://www.virustotal.com/gui/file/ac7d02465d0b1992809e16aaae2cd779470a99e0860c4d8a2785d97ce988667b/detection
    2. Gadget.exe: https://www.virustotal.com/gui/file/5c859ca16583d660449fb044677c128a9cdedd603d9598d4670235c52e359bf9/detection
    3. Sidebar.dll.doc: https://www.virustotal.com/gui/file/a13161d957ef1bf6362cbc488a82ffca8f6f52f48143f1110616b9c540e5997a/detection
    4. Sidebar.dll: https://www.virustotal.com/gui/file/3144079c68ba00cebfd05239a2f5bd406096ec02e13e8571ca24313df7a5b679
  5. DLL Search Order Hijacking: https://attack.mitre.org/techniques/T1038/



Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

1. Geleneksel Stajyer CTF Soru ve Cevapları

Resim
İlkini 26 Mayıs - 1 Haziran 2016 tarihleri arasında gerçekleştirmiş olduğumuz ve bundan sonraki stajyer alım süreçlerinde de devamlı gerçekleştirmeyi düşündüğümüz CTF (Capture The Flag) yarışmamızda sorulan sorular ve çözümleri için izlenebilecek adımlar aşağıda verilmiştir. 1. Verilen soruda "Her görünenin ardında gizli bir şeyler vardır." ile olayın sadece bir resimden ibaret olmadığı ve bir şeylerin gizlendiği/gizlenebileceği anlatılmaya çalışılmıştır. Burada da ilk olarak data gizleme/saklama bilimi olan Steganografi'nin akıllara gelmesi gerekmekteydi. Steganografi ile ilgili ayrıntılı bilgi için bkz . Resim dosyalarına farklı yöntemler ile data saklanabilmektedir. Popüler olarak kullanılan Steghide aracıyla, graph-theoretic yaklaşımıyla veri saklama işlemi yapılabilir. Soruda verilen resim aşağıdaki gibidir. Steghide ile resim içerisindeki datayı çıkartmayı denediğimiz zaman parola soracaktır. Brute force ile doğru parolayı bulmanız gerekmekte,...
Devamını okuyun

B*-Tree (BTree, BPlusTree) Veri Yapısı ile Veri İndeksleme

Resim
Veri indeksleme Veri asıl kaynağına yazılırken bir format takip edilir. Bu formata göre, bazı sorgulamaların yapılması çok zaman almaktadır. Bazen tüm verinin taranması gerekebilir. Veriye erişimi hızlandırmak için, asıl veriye ek olarak, farklı biçimlerde tekrar bilgi yazılması gerekmektedir. Farklı biçimlerde verinin tekrar yazılması işlemi "indeksleme" olarak adlandırılmaktadır. İndeksleme yaklaşımında, indekslenecek anahtar veri ve asıl veriye referans bulunmaktadır. ( <Key,Pointer> ) Asıl veri değiştiğinde, indeks verilerinin de güncellenmesi gerekir. Bu yazımızda; önemli indeksleme tekniklerinden olan BTree ve BPlusTree veri yapılarının özellikleri hakkında bilgi verilecektir. BPlusTree, ilişkisel veritabanlarında en çok kullanılan ağaç veri yapısıdır. BTree Veri yapısı BTree, ağaç şeklinde dinamik bir veri yapısıdır. Nodlar ve nod içindeki sıralı elemanlardan oluşur. Kök noddan başlayarak; her bir elemanın küçük değerleri, sola doğru, büyük değerleri is...
Devamını okuyun

2. Geleneksel Stajyer CTF Soru ve Cevapları - 2017

Resim
2. si düzenlenen CRYPTTECH Stajyer CTF'inde sorulan soruların çözümlerinden önce yarışma içeriğine dair birkaç istatistik ile başlangıcı yapalım. CTF ‘17’de sorduğumuz soruların genel görüntüsü aşağıdaki gibidir. Flag formatıyla beraber toplamda 16 soru sorulmuştur. 75 kayıtlı kullanıcının olduğu CTF’te aktif 42 katılım olmuştur. Sorulara göz attıktan sonra korkup kaçanların sayısını bilemiyoruz. 2000 ’e yakın cevabın girildiği sistemde; 213 doğru cevap, 1682 yanlış cevap girilmiştir.   Sorulara verilen cevapların dağılımı aşağıdaki gibi olmuştur; CEVAPLAR Soru 1: Başlangıç olarak sonraki sorularda verilecek cevapların formatının nasıl olması gerektiğini belirten format üzerine kurulu bir sorumuz vardı; Bu soruya inatla yanlış cevaplar veren ve cevap soruda yazmasına rağmen ipucu isteyip 7 puanını kaptıran arkadaşlara selam olsun. Cevap 1: CT_{flag} Soru 2: Sorudan anlaşılması beklenen, verilen klasördeki 66 resim içerisinden aynı hash (heş) değer...
Devamını okuyun