Fidye yazılımları herkes için gittikçe baş edilmesi zor bir tehdit haline geliyor. Aralarında Türkiye’den bir çok hedefin de bulunduğu yeni ve güncel ransomware salgını da onlardan biri. Hedeflerine oltalama saldırısı ile ulaşan ve E-Posta eklentisi olarak gelen ransomware, enfeksiyon işlemini MS Office Macro veya JS uzantılı scriptler ile gerçekleştiriyor.
Söz konusu oltalama saldırısı ve hedeflere iletilen E-Posta içeriği aşağıda görüldüğü gibidir. Saldırgan, hedeflere fiyat teklifi içerikli mail atarak sosyal mühendislik gerçekleştiriyor. Bu maillerde kimi zaman zararlı Office / JS dosyaları attachment olarak bulunurken, kimi zaman ise dropbox linki üzerinden paylaşılıyor;
Yazının yazıldığı an itibariyle, E-Posta ile gelen ve zararlı MS Office Macro içeren dosya XLS dosyasılarını ve JS dosyalarını zararlı olarak etiketleyen anti-virus sayısı ise aşağıda görüleceği gibi sadece 1-2 adettir. Dolayısıyla mevcut saldırıyı engellemeye yönelik sistemler üzerinde yer alan anti-virüslerin başarısız olduğu ya da engellemede geç kaldığı görülmektedir.
Eklenti olarak gelen MS Office Excel dosyası açıldığı ve içerisinde ki Makrolar incelendiğinde ilk göze çarpan Makro içeriğinin karmaşıklaştırılmış yani obfuscate edilmiş olması. Saldırganlar, analistler tarafından kodun okunması ve içeriğin anlaşılması önlemek adına bu tip yöntemler kullanmakta.
Kodu ne yaptığını anlayabilmek adına de-obfuscate ettiğimizde aşağıda görüldüğü gibi kodun .pl uzantılı bir URL’den %APPDATA% dizinine bir EXE indirildiği görülüyor. Bu süreçten sonra Powershell üzerinden %APPDATA% içerisine indirilen EXE çalıştırılıyor.
Zararlı yazılım sisteme MS Office Macro aracılığı ile indirildikten sonra program içerisinde %TEMP% dizini içerisinde oluşturulan DLL’in çağrıldığını debugger aracılığı ile görmek mümkün. Söz konusu DLL içeriği zararlı işlevlerin gerçekleştirildiği gövdeyi içermektedir.
Zararlı yazılım’ın çeşitli işlevsellikleri ve kripto işlemleri gerçekleştirdikten sonra legal süreçlere kendini enfekte ettiği görülüyor. Bu işlemleri gerçekleştiren ve zararlı yazılım içerisinden çıkartılan çıkartılan “payload”a ait ekran görüntüsü aşağıda yer almaktadır.
Zararlı yazılım çalıştıktan sonra kendisini “explorer.exe” isimli sürece enjekte etmektedir. Saldırganın C&C sunucularına bağlantı bu süreç üzerinden gerçekleşmektedir. Aşağıda bu bağlantılara ait ekran görüntüsü yer almaktadır.
Yine explorer.exe process’ine enjekte edilen kod aşağıda yer almaktadır. Sürekli olarak explorer.exe üzerinden dışarıya giden bağlantı bu kod vasıtasıyla gerçekleşmektedir.
Tüm bu süreçler tamamlandığında ise hedef alınan kullanıcı/kurumun bütün dosyalar şifreleniyor ve ekrana dosyalarınızı nasıl geri kazanacağınıza dair bir bildirim geliyor.
Analizde görüldüğü gibi basit bir MS Office / .JS belgesi ile birlikte gelen zararlı yazılım sisteme 4 adet farklı zararlı yazılım indiriyor ve legal süreçlere kendisini enjekte ederek dışarıya doğru HTTP ve HTTPS bağlantı gerçekleştiriyor. Bu tip saldırılara karşı imza ve güncelleme gerekmeksizin TRAPMINE’ın sağladığı korumayı aşağıda gözlemleyebilirsiniz.
MD5 Hashes
MS Office Excel File
2724d099eb6b28d6a3fe5f84c1124688
JS Files
cf9f6eaf1cfb4c601fc868a8d893a72a
1e9f58dec03d377ef3817cd9d9ab8022
Dropper
b40a42b0047024c40bde4ca6b7af0ecd
Payload
86dcb8b03348e45d8d3b527222cb2561
DLLs
c719b742d1c97d8a493b2774c47a1c59
250f7102cbce55ea18bfcc14598f49b5
2985614ce2d52166cde87ab40c57940a
Domain
bestrecord93.pl
unspecified.mtw.ru
vm2442.ksqu.eu
tor-exit-relay.ntf.uni-lj.si
tor.windfluechter.net
rgnx.net
212-83-174-26.rev.poneytelecom.eu
km32633.keymachine.de
t04e.backwatcher.com
j17531.servers.jiffybox.net
rgnx.net
belphegor.notsaved.org
km32633.keymachine.de
IP Address
84.245.30.154
37.218.240.80
199.249.223.73