Plead zararlı yazılımı, ASUS WebStorage kullanılarak MitM saldırıları yoluyla router cihaz seviyesinde dağıtıldı

Sonraki hikaye
Anton Cherepanov

Temmuz 2018'de Plead arka kapısının D-Link Corporation tarafından verilen bir kod imzalama sertifikası ile dijital olarak imzalandığını keşfettik. Yakın zamanda aynı zararlı yazılım ile ASUS Cloud Corporation tarafından geliştirilen meşru yazılım arasında olası bir bağlantı tespit ettik.  

TrendMicro'ya göre Plead zararlı yazılımı, BlackTech grubu tarafından hedefli saldırılarda kullanılan bir arka kapıdır.  BlackTech grubu temel olarak Asya kıtasında siber casusluk faaliyetlerine odaklanmıştır.   

Bu blog yazısında açıklanan yeni faaliyet, ESET tarafından Plead zararlı yazılımının en aktif şekilde dağıtıldığı Tayvan'da tespit edilmiştir.  

Peki ne oldu? 

Nisan 2019 sonlarında ESET telemetrisini kullanan ESET araştırmacıları, bu kötü amaçlı yazılımın dağıtılması için birden fazla sıradışı girişim gözlemlemiştir.  Detay vermek gerekirse, Plead arka kapısı AsusWSPanel.exe adı verilen meşru bir işlem tarafından oluşturularak yürütülmüştür.Bu işlem, ASUS WebStorage adlı bir bulut depolama hizmeti istemcisine aittir. Yürütülebilir dosya, ASUS Cloud Corporation tarafından dijital olarak imzalanmıştır.

Şekil 1. AsusWSPanel.exe kod imzalama sertifikası

 

Gözlenen tüm Plead örnekleri aşağıdaki dosya adına sahiptir: Asus Webstorage Upate.exe (sic!). Araştırmamız, ASUS WebStorage'ın AsusWSPanel.exe modülünün yazılım güncelleme işlemi sırasında bu tür dosya adlarıyla dosyalar oluşturabileceğini doğrulamıştır.

Şekil 2. ASUS WebStorage yürütülebilir istemcisinin derlenmiş bir kodu

 

Meşru yazılımın Plead zararlısını neden oluşturup çalıştırabileceği hakkında çeşitli muhtemel açıklamalar vardır. 

Senaryo 1 — Tedarik zinciri saldırısı 

Tedarik zincirleri, saldırganlara aynı anda çok sayıdaki hedefi gizlice ele geçirebilmeleri için sınırsız fırsatlar sunar. Bu nedenle tedarik zinciri saldırılarının sayısı gitgide artmaktadır. ESET araştırmacıları geçtiğimiz yıllarda bu kapsamda M.E.Doc, Elmedia Player, VestaCP, Statcounter ve Gaming industry gibi vakaları analiz ettiler.  

Zararlı yazılım araştırmacıları için genel olarak ortada kanıt olarak gösterilebilecek yeterli sayıda delil bulunmadığı için belirli bir tedarik zinciri saldırısını tespit etmek kolay değildir.  

ASUS WebStorage tedarik zinciri saldırısı olasılığını düşündüğümüzde, aşağıdaki noktaları dikkate almalıyız: 

  • Yasal ASUS WebStorage ikili dosyaları aynı güncelleme mekanizması ile teslim edildi 
  • Şu aşamada, ASUS WebStorage sunucularının C&C sunucuları olarak kullanıldığının veya kötü amaçlı ikili dosyalar dağıttığının farkında değiliz 
  • Saldırganlar, meşru yazılımın içinde kötü amaçlı işlevselliği dahil etmek yerine bağımsız kötü amaçlı yazılım dosyaları kullandılar 

Bu nedenle, olası bir tedarik zinciri saldırısı hipotezini daha az muhtemel bir senaryo olarak değerlendiriyoruz; ancak bu ihtimali yine de tam olarak görmezden gelemeyiz.  

Senaryo 2 — Ortadaki adam saldırısı 

ASUS WebStorage yazılımı, ortadaki adam saldırısına (MitM) karşı savunmasızdır. Özetlemek gerekirse, yazılım güncellemesi HTTP kullanılarak istenir ve aktarılır. Sonrasında bir güncelleme indirilir ve bu güncelleme yürütülmeye hazır olduğunda, yazılım onu yürütmeden orijinal olup olmadığını doğrulayamaz. Böylece saldırganlar güncelleme işlemi sırasında araya girebilirlerse, kötü amaçlı bir güncelleme yapılmasını sağlayabilirler. 

ESET araştırmacıları, zararlı yazılımların ISP seviyesinde bir MitM saldırısı kullanılarak dağıtıldığı durumlara alışkındır. Buna FinFisher, StrongPity2 ve Turla mosquito vakaları örnek gösterilebilir.  

TrendMicro araştırmasına göre, Plead zararlı yazılımının arkasındaki saldırganlar savunmasız router cihazları ele geçirmekte ve hatta onları zararlı yazılımın C&C sunucuları olarak kullanmaktadırlar.   

Araştırmamız bu durumdan etkilenen kuruluşların çoğunun aynı üretici tarafından üretilen router cihazlara sahip olduğunu ortaya çıkarmış ve dahası, bu cihazların yönetim panellerine internetten erişilebildiğini ortaya koymuştur. Bu doğrultuda, router cihaz seviyesindeki bir MitM saldırısının en olası senaryo olduğuna inanıyoruz.  

Yukarıda belirtildiği gibi, ASUS WebStorage yazılımı HTTP kullanarak bir güncelleme talep etmektedir.  Belirtmek gerekirse, update.asuswebstorage.com sunucusuna bir istek göndermekte, o da XML formatında bir geri yanıt göndermektedir.  XML yanıtındaki en önemli bileşenler guid ve link'tir.  Guidbileşeni son güncel versiyonu içerirken, link bileşeni de güncelleme için kullanılacak URL indirme linkini içermektedir.  Güncelleme işlemi basittir: yazılım, yüklü sürümün en son sürümden daha eski olup olmadığını kontrol eder; eğer öyleyse, sağlanan URL'i kullanarak bir ikili dosya ister.

Şekil 3. ASUS WebStorage yazılımının güncelleme kontrolü sırasındaki meşru bir iletişim

 

Bu şekilde saldırganlar bu iki öğeyi kendi verilerini kullanıp değiştirerek güncelleştirmeyi tetikleyebilirler. Bu, tam olarak dolaşımda gözlemlediğimiz senaryodur. Şekil 4'te gösterildiği gibi, saldırganlar yeni bir URL ekler ve bu da ele geçirilmiş bir gov.tw alan adresindeki kötü amaçlı bir dosyaya işaret etmektedir. 

Şekil 4. ASUS WebStorage yazılımının kötü amaçlı bir güncellemesi sırasında yakalanan bir iletişim

 

Şekil 5'teki grafik, ele geçirilen router cihazlar aracılığıyla hedeflere kötü amaçlı yükler dağıtmak için kullanılan en olası senaryoyu göstermektedir.

Şekil 5. Ortadaki adam saldırısı senaryosu

 

Plead arka kapısı 

Dağıtılan Plead örneği, ilk aşama niteliğinde bir indiricidir. Bir kez yürütüldüğünde, resmi ASUS WebStorage sunucusu olan update.asuswebstorage.com.ssmailer[.]com adresiymiş gibi görünen sunucudan fav.ico bir dosya indirir.  

İndirilen dosya, PNG formatında bir görsel ve PNG verilerinin hemen ardına gizlenmiş olan kötü amaçlı yazılım tarafından kullanılacak verileri içermektedir. Kötü amaçlı yazılım belirli bir bayt dizisi (kontrol baytları) arar; sonrasında verilerin geri kalanını çözmek için sonraki 512 baytı bir RC4 şifreleme anahtarı olarak kullanır.

Şekil 6. İndirilen PNG dosyasında Plead zararlı yazılımı tarafından kullanılan veri

 

Şifresi çözülen veriler bir Windows PE ikili dosyası içermektedir; bu dosya da aşağıdaki dosya isimleri ve dosya adresleri kullanılarak dağıtılıp yürütülebilir: 

  • %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\slui.exe 
  • %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.exe 
  • %TEMP%\DEV%RANDOM4CHARS%.TMP 

Zararlı yazılım kendisini Başlat Menüsü'nün başlangıç klasörüne yazarak kalıcılık kazanır ve mevcut kullanıcı sisteme her giriş yaptığında yüklenir. 

Bırakılan yürütülebilir dosya, amacı PE kaynağındaki shellcode'u çözmek ve bellekte çalıştırmak olan ikinci aşama yükleyicidir. Shellcode üçüncü aşamada DLL'i yükler; bunun da amacı C&C sunucusundan ek bir modül alıp yürütmektir.Üçüncü aşamadaki DLL ve indirilen modül JPCERT tarafından derinlemesine analiz edilmiş ve blog sayfasındapaylaşılmıştır("TSCookie" olarak bahsedilmektedir). 

Sonuç 

Saldırganlar, zararlı yazılımlarını daha gizli bir şekilde dağıtabilmek için sürekli yeni yöntemler aramaktadırlar.Tedarik zinciri ve ortadaki adam saldırılarının dünya genelinde pek çok saldırgan tarafından her geçen gün artarak kullanıldığını görüyoruz 

Bu nedenle yazılım geliştiricilerinin olası izinsiz girişlere yönelik olarak ortamlarını iyice izlemekle kalmayıp, aynı zamanda MitM saldırılarına karşı ürünlerinde dirençli ve buna uygun güncelleme mekanizmaları uygulamaları da çok önemlidir. 

ESET araştırmacıları, bu makale yayınlanmadan önce ASUS CloudCorporation'ı bilgilendirmiştir.  

Herhangi bir sorunuz olması veya bu konuyla ilgili örnek gönderimler yapmak istemeniz durumunda lütfen threatintel@eset.com adresinden bizimle iletişime geçin. 

Indicators of Compromise 

ESET detectionnames 

Win32/Plead.APtrojan 

Pleadsamples (SHA-1): 

77F785613AAA41E4BF5D8702D8DFBD315E784F3E 

322719458BC5DFFEC99C9EF96B2E84397285CD73 

C&C servers 

update.asuswebstorage.com.ssmailer[.]com 

www.google.com.dns-report[.]com

 

MITRE ATT&CK techniques

Execution

T1203

Exploitation for Client Execution

BlackTech group exploits a vulnerable update mechanism in ASUS WebStorage software in order to deploy Plead malware in network

Persistence

T1060

Registry Run Keys / Startup Folder

Plead malware might drop a second stage loader in the Start Menu's startup folder

Defense Evasion

T1116

Code Signing

Some Plead malware samples are signed with stolen certificates

T1027

Obfuscated Files or Information

Plead malware encrypts its payloads with the RC4 algorithm

Credential Access

T1081

Credentials in Files

BlackTech can deploy a module that steals credentials from the victim's browser and email clients

Discovery

T1083

File and Directory Discovery

Plead malware allows attackers to obtain a list of files

T1057

Process Discovery

Plead malware allows attackers to obtain a list of running processes on a system

Command And Control

T1105

Remote File Copy

Plead malware allows attackers to upload and download files from its C&C

T1071

Standard Application Layer Protocol

Plead malware uses HTTP for communication with its C&C

Exfiltration

T1041

Exfiltration Over Command and Control Channel

Data exfiltration is done using the already opened channel with the C&C server