ESET araştırmacıları, Kore TV içeriği yem olarak kullanıp torrentler aracılığıyla bir arka kapıyı dağıtan kötü amaçlı bir saldırı keşfettiler.
Kore TV hayranları, Güney Kore filmlerini ve dizilerini maske olarak kullanarak zararlı yazılım dağıtan torrent sitelerine karşı dikkatli olmalıdır. Zararlı yazılım, bulaştığı bilgisayarın saldırgan tarafından bir botnet'e bağlanmasını ve uzaktan kontrol edilmesini sağlar.
Bu zararlı yazılım, GoBot2 adlı halka açık bir arka kapının değiştirilmiş bir versiyonudur. Kaynak kodunda yapılan değişiklikler çoğunlukla Güney Kore'ye özgü kaçınma teknikleridir ve bu blog yazısında ayrıntılı olarak açıklanmıştır. Saldırının Güney Kore'ye net bir şekilde odaklanması nedeniyle, bu Win64/GoBot2 varyantına GoBotKR dedik.
ESET telemetrisine göre GoBotKR, Mart 2018'den beri aktif. Yüzlerce tespitin en çok etkilediği ülke %80'le Güney Kore; ardından %10'la Çin ve %5'le Tayvan takip ediyor.
Dağıtım
GoBotKR, Kore film ve dizilerinin yanı sıra bazı oyunların kılığına girerek Güney Koreli ve Çinli torrent siteleri üzerinden yayılıyor.
Bu saldırının arkasındaki kişiler, zararlı dosyaların olduğu torrentlerin dosya adlarını, uzantılarını ve simgelerini değiştirerek bubi tuzağı kuruyor ve kullanıcıları bu şekilde kandırarak bu dosyaları çalıştırmalarını sağlamaya çalışıyorlar. Analizlerimiz, bir film/dizi görünümüne bürünen torrentlerin genellikle aşağıdaki dosya türlerini içerdiğini göstermektedir:
1) Beklenen MP4 dosyası
2) Çeşitli codec yükleyicilerini taklit eden bir dosya adı ile PMA arşiv dosyası olarak maskelenmiş kötü amaçlı bir yürütülebilir dosya
3) Beklenen video dosyasını taklit eden, onun dosya adı ve simgesine sahip kötü amaçlı bir LNK dosyası
Şekil 1, bu kötü amaçlı saldırıdan torrent içeriği örneklerini göstermektedir.
Peki kullanıcılar tam olarak nasıl tehlikeye giriyor?
Amaçlanan MP4 dosyasını doğrudan açmak, herhangi bir kötü amaçlı eylemle sonuçlanmaz. Buradaki önemli nokta, MP4 dosyasının genellikle farklı bir dizinde gizlenmiş olması ve kullanıcıların ilk önce onu taklit eden kötü amaçlı LNK dosyasıyla karşılaşmasıdır. LNK dosyasının uzantısının normalde Windows Gezgini'nde görünmemesinin, kullanıcıların yemi yutma ihtimalini arttırdığı da bir gerçek. Şekil 1'deki ikinci ekran görüntüsünde, dosya adı Korece olan örneği görebilirsiniz
Aldatıcı LNK dosyasına tıklanması kötü amaçlı yazılım çalıştırılır. Ancak, bu dosya aynı zamanda amaçlanan dosyayı da açarak (bu durumda bir video), kurbanlara bir şeylerin yanlış gittiğinden şüphelenmeleri için çok az neden bırakır.
Zararlı EXE dosyasının uzantısını PMA olarak değiştirmek de potansiyel kurbanların şüphelenme ihtimalini de azaltır. Oyunlarla uyumlu dosya adı ve uzantılarıyla adlandırılmış torrenlerle, oyunları yem olarak kullanarak bu tekniğin uygulandığını da görmüştük
Araştırmamız sırasında, çalıştırılabilir zararlı yazılımlar tarafından şu dosya ve uzantı adlarının kullanıldığını gördük: starcodec.pma, WedCodec.pma ve Codec.pma (film/dizi kılığında) ve leak.dll (oyun kılığında). “Starcodec” adı, yasal Kore codec paketi Starcodec'i taklit eder.
Beceriler
GoBotKR, kaynak kodu Mart 2017'den beri halka açık olan GoBot2 adlı bir arka kapı üzerine yapılandırılmıştır. Hem orijinal hem de değiştirilmiş sürüm Go olarak da bilinen GoLang dilinde yazılmıştır. Zararlı yazılımlar için hâlâ nispeten nadir olsa da, derlenmiş yürütülebilir dosyalarının hantal olması analistlere zorluk çıkardığı için GoLang kötü amaçlı yazılımlarının yeni varyantları ortaya çıkıyor.
GoBotKR'nin işlevselliği, yayınlanan GoBot2 kaynak koduyla büyük ölçüde örtüşüyor, sadece çok küçük değişiklikleri mevcut. Aslında bu zararlı yazılım, teknik olarak pek karmaşık değildir ve uygulanması da oldukça basittir. Çoğu özellikler GoLang kütüphanelerinin kullanılmasıyla ve Windows komutlarının çalıştırılmasıyla (cmd, ipconfig, netsh, shutdown, start, systeminfo, taskkill, ver, whoami, ve wmic gibi) ve BitTorrent ve uTorrent istemcileri gibi üçüncü taraf yardımcı programları çalışırarak uygulanır
Toplanan Bilgiler
Sonuç olarak, GoBotKR'nin arkasındaki kişiler, daha sonra çeşitli türlerde (örn. SYN Flood, UDP Flood veya Slowloris) DDoS saldırıları gerçekleştirmek için kullanılabilecek bir bot ağı kuruyor. Bu nedenle, yürütüldükten sonra GoBotKR, ağ yapılandırması, işletim sistemi sürüm bilgileri, CPU ve GPU sürümleri de dahil olmak üzere, bulaştığı bilgisayarın sistem bilgilerini toplar. Özellikle, yüklü antivirüs yazılımlarının bir listesini toplar.
Bu bilgiler bir C&C sunucusuna gönderilir, bu da saldırganların ilgili saldırılarda hangi botların kullanılması gerektiğini belirlemesine yardımcı olur. Analiz edilen kötü amaçlı yazılım örneklerinden çıkardığımız sonuca göre tüm C&C sunucuları Güney Kore'de bulunuyor ve hepsi aynı kişi adına kayıtlı.
Bot komutları
C&C sunucusu ile iletişim kurulduktan sonra, sunucu saldırılan bilgisayara arka kapı komutları ile talimat verir. GoBotKR, çoğunlukla üç ana amaca hizmet eden oldukça standart botnet işlevlerini destekler:
· saldırılan bilgisayarın kötüye kullanılabilir hâle getirilmesi
· botnet operatörlerinin, botnet'i kontrol etmesine veya daha fazla uzatmasına izin verir
· tespitten kaçma veya kullanıcıdan saklanma
Desteklenen komutlar şunlardır:
· Belirtilen bir kurban üzerinde bir DDoS saldırısı yürütmek
· bir URL'ye erişim
· bir dosya, bir komut, bir komut dosyası çalıştırmak
· kendini güncellemek, sonlandırmak veya kaldırmak
· Bilgisayarı kapatmak/yeniden başlatmak/bilgisayarda oturumu kapatmak
· IE ana sayfasını değiştirmek
· masaüstü arka planını değiştirmek
· torrentler seed etmek
· kendisini bağlı bir çıkarılabilir medyaya kopyalamak ve AuroRun işlevini düzenlemek
· kendisini bulut depolama hizmetlerinin ortak klasörlerine kopyalamak (Dropbox, OneDrive, Google Drive)
· ters proxy sunucusu çalıştırmak
· bir HTTP sunucusu çalıştırmak
· güvenlik duvarı ayarlarını değiştirmek, hosts dosyasını düzenlemek, bir bağlantı noktası açmak
· Görev Yöneticisi'ni etkinleştirmek/devre dışı bırakmak
· Windows kayıt defteri düzenleyicilerini etkinleştirmek/devre dışı bırakmak
· Komut İstemi'ni etkinleştirmek/devre dışı bırakmak
· bi işlemin çalışmasını kesmek
· bir işlem penceresini gizlemek
Özellikle odaklandığı iki komut vardır - torrentler seed etmek ve DDoS becerileri
“Torrent seed etme” komutu saldırganların, sistemde önceden yüklü olmasa bile, BitTorrent ve uTorrent programlarını kullanarak keyfi dosyaları seed etmek için mağdur edilen makineleri kötüye kullanmalarına izin verir. Bu, kötü amaçlı yazılımları daha fazla dağıtmak için bir mekanizma olarak kullanılabilir.
“DDoS saldırısı gerçekleştirme” komutu, saldırganların web siteleri gibi hedeflenen hizmetlerin kullanılabilirliğini engellemek için kurbanın ağ bant genişliğini kötüye kullanmasına olanak tanır. Analizimize göre, bu büyük olasılıkla GoBotKR botnet'in temel amacı.
Tespitten kaçınma teknikleri
Bu bölümde GoBotKR arka kapısının kullandığı kaçınma tekniklerini araştırıyoruz. Halka açık kaynak kodunda birçok teknik mevcut olsa da, GoBotKR yazarları Güney Kore'ye özgü özelliklerle bunları daha da genişletti. Bundan, saldırganların, belirli bir kitleye yönelik zararlı yazılımları özelleştirdiğini ve saldırıda fark edilmemek için fazladan çaba gösterdiğini anlıyoruz.
GoBot2'den alınan teknikler
GoBotKR tarafından kullanılan aşağıdaki tespitten kaçınma ve anti-analiz teknikleri GoBot2 kaynak kodundan benimsenmiştir:
· Kötü amaçlı yazılım, sisteme iki örneğini yükler. İkinci örnek (watchdog), ilk örneğin hâlâ etkin olup olmadığını izler ve sistemden kaldırılmışsa yeniden yükler.
· Zararlı yazılım, antivirüs baypas tekniklerini kullanır (büyük bellek parçalarını ayırır ve antivirüs motorlarının kaynak kısıtlamaları nedeniyle kodu taklit etmesini önlemek için zararlı iş yükünün yürütülmesini geciktirir).
· Zararlı yazılım, hata ayıklayıcıları gibi seçili güvenlik ve analitik araçları algılayabilir. Tespit edilirse, kendini sonlandırır.
· Mağdurun IP bilgileri kara listeye alınmış birkaç kuruluştan (örn. Amazon, BitDefender, Cisco, ESET) birini önerirse zararlı yazılım kendisini sonlandırır. IP bilgilerini sorgulamak için harici yasal web sitelerini kullanır ve API işlevlerini kullanmak yerine bu bilgilerdeki kodlanmış dizeleri arar (örn. “bulut”, “Cisco”, “Microsoft”).
· Dosya adı onaltılık sayı sisteminde 32 karakterden oluşuyorsa kötü amaçlı yazılım kendisini sonlandırır ve bu da iş yükünün bazı otomatik sanal alanlarda yürütülmesini engeller.
GoBotKR'de Güney Kore'ye özgü değişiklikler
GoBotKR yazarları, Güney Kore odaklı üç yeni kaçınma tekniği ekledi:
1) Önceki bölümde açıklandığı gibi, zararlı yazılım, kara listeye alınan kuruluşlardan birinde çalışıp çalışmadığını anlamak için bulaştığı bilgisayarın IP bilgilerini kullanır. GoBot2'de, kurbanın IP adresi Amazon Web Services 'a veya dnsDynamic'e erişip yanıtın incelenmesiyle belirlenir.
Analiz ettiğimiz GoBotKR örneklerinde, bu URL'ler Güney Koreli çevrimiçi platformlar Naver ve Daum ile değiştirilir.
2) GoBotKR, seçilen antivirüs ürünlerini (Tablo 1'de listelenen) algılamak için bulaştığı sistemde çalışan işlemleri tarayan yeni bir tespitten kaçınma tekniğine sahiptir. Ürünlerden herhangi biri algılanırsa, kötü amaçlı yazılım kendisini sonlandırır ve etkinliğinin bazı izlerini ana bilgisayardan kaldırır. Tespit edilen süreçlerin listesi, Güney Koreli bir güvenlik şirketi olan AhnLab'ın ürünlerini içerir.
İşlem adı alt dizesi | İlişkili şirket/ürün |
V3Lite | AhnLab, V3 İnternet Güvenliği |
V3Clinic | AhnLab, V3 İnternet Güvenliği |
RwVnSvc | AhnLab Anti-Fidye Yazılımı Aracı |
Ksde | Kaspersky |
kavsvc | Kaspersky |
avp | Kaspersky |
Avast | Avast |
McUICnt | McAfee |
360 | 360 Toplam Güvenlik |
Kxe | Kingsoft Antivirus |
Kwsprotect | Kingsoft İnternet Güvenliği |
BitDefender | BitDefender |
Avira | Avira |
ByteFence | ByteFence |
AhnLab referanslarına ek olarak, 2) ve 3) numaralı noktalarda açıklanan savunma teknikleri, kötü amaçlı yazılımlardan elde ettiğimiz meta verilere göre, kaynak koduna AhnLab.go adlı bir dosya olarak eklenmiştir.
Zaman çizelgesi
Kötü amaçlı yazılım torrent yoluyla yayıldığından, örneklerin birçoğu bozuk veya eksiktir. Ancak C&C sunucularını ve dahili sürüm bilgilerini kurtarabilmeyi başardık.
Zararlı yazılım ilk görüldüğünden beri, 2.0, 2.3, 2.4 ve 2.5 dahili sürümlerine sahip örnekler tespit ettik. Bu sürümlerin her biri bazı küçük teknik iyileştirmeler veya uygulama farklılıkları ile birlikte gelir. Sürüm oluşturma, “ArchDuke” iç isminin kullanıldığı GoBot2 kaynak kodunda kullanılandan farklıdır.
Tablo 2, ESET sistemleri tarafından Mayıs 2018'den yazım zamanına kadar algılanan GoBotKR sürümlerini listeler. PE zaman damgaları örneklerden temizlendiği için zaman çizelgesi zararlı yazılımın dahili sürüm oluşturma ve algılama tarihlerini sunar.
İlk görüldüğü zaman | Dahili sürüm | Güney Kore'ye bağlı işlevsellik | C&C sunucusu |
Mayıs 2018 | 2 | Hayır | |
Tem 2018 | 2 | Evet | |
Ağu 2018 | 2 | Evet | |
Eyl 2018 | 2.3 | Evet | |
Eyl 2018 | 2.3 | Evet | |
Eyl 2018 | 2.3 | Evet | |
Eyl 2018 | 2.3 | Evet | |
Oca 2019 | 2.4 | Evet | |
Oca 2019 | 2.5 | Evet |
Tabloda görüldüğü gibi, Mayıs 2018'de tespit edilen ilk kötü amaçlı yazılım örnekleri henüz Güney Kore hedefleri için özelleştirilmemiştir ve bu nedenle GoBot2 kaynak koduyla neredeyse aynıdır. Ancak, aynı C&C sunucusunu kullandıkları için onları daha yeni örneklere bağlayabildik.
Nasıl güvende kalabilirsiniz
Bu kötü amaçlı yazılım saldırısının kurbanı olabileceğinizden şüpheleniyorsanız, bilgisayarınızı güvenilir bir güvenlik çözümü ile taramanızı öneririz. ESET ürünleri, bu zararlı yazılımları Win64/GoBot2 tespit adıyla algılar ve engeller. ESET’in Ücretsiz Online Scanner'ını kullanarak bilgisayarınızı bu tehdidin varlığına karşı kontrol edebilir, tespit edilmesi durumunda kaldırabilirsiniz. Mevcut ESET müşterileri otomatik olarak korunur.
Torrent siteleri aracılığıyla dağıtılan korsan içerik, her türlü zararlı yazılımın yayılması için iyi bilinen bir vektördür. Gelecekte benzer saldırılardan kaçınmak için içerik indirirken resmi kaynaklara bağlı kalın. İndirilen dosyaları başlatmadan önce, uzantılarının amaçlanan dosya türleriyle eşleşip eşleşmediğine dikkat edin. Bilgisayarınızın korunmasını sağlamak için düzenli olarak yama yapmanızı ve saygın bir güvenlik yazılımı kullanmanızı öneririz.
IoC
ESET tespit adı
Win64/GoBot2
C&C sunucuları
jtbcsupport [.] sitesi
kingdomain [.] sitesi
higamebit [.] com
bitgamego [.] com
helloking [.] sitesi
SHA-1
Bazı kötü amaçlı yazılım örneklerinin dağıtım mekanizmasının (torrentler) doğası nedeniyle bozulabileceğini unutmayın.
Sürüm 2.0
038C69021F4091F0B1BE3F059FCDC1C4FA8885D2
092A4F085A01E0D61418114726B9F9EF9F4683C3
11953296BBC2B26303DED2F92FB8677BD8320326
11BF60CC2B8AC0321635834820460824D76965DE
275E3BD90996EF54DB5931CBDF35B059D379E0E
424215E74EA64FC3A55FE9C94B74AFC4EA593699
4899912880FF7B881145B72A415C7662625E062E
6560BD68CD0CA0402AB28D8ABE52909EB2BA1E10
6A58E32DFF59BAE432E5D351EAD7CB939CCB7
6BE3A40D89DDCDCFA37926A29CE5BCC5FF182D12
77EAE50B8C424338C2987D6DFF52CE0F0BBBD98F
A04EB443942DD3906A883119429BF09A3601B3E0
A61D72BA8AE6A216F1D5013A05CEA8D4F96E81E1
B60DA1F89313751FAA21DD394D6D862CC8C2DBE4
B7CEAE53118890011B695E358633CCD35E8CD577
BDBA27E525D6DC698C1CF90B07F4FB85956E9C28
C31955C4D3C38591BBC8A2089F23B5558146267B
D688A58001E41A8CA22EABCA309DA9FCD2910CB3
DD18D7B0ADE5E65EFDE920C9261E8890B4105B75
E0046D91BED1B3A09243C43760599DC9D8F99953
E00F1BB85A277A8C1ED081642EF76413B2FF7EA9
EA968D757281EBB5D9334EFC9ECDA69EA15A9
F9C40789C780174F6BB377AE46F49B94E402AE77
FFF263FA9E16F7945BCE21D0F6C11C75DAA241D8
Sürüm 2.3
018927A35B2CEC08D5493CB75BAA62D6956D0109
063C462E98453AD6E4091A5AB35613CAF19DF415
082A026BD14F69AF46641ABF20520B3D2D0D6E6A
084A7E6B7DD955554FCED021DF58458C7E66EBB2
097248EB38277DA879F5D606179C746DB6BB2C54
0DBA9DDBBB12FA4FE22CD4EE16EF8DCC73B7D295
0E9D0C1A82DFB53DF9BB8B75D3A90B2236704498
0F4BB3FC6771D306565E1002B3327A9F2AED92AF
14129424593DC8B1865F491A9CA92BE753B2A7F0
16703AE741257EAF2EC76E097D17F379E3FCB29D
1BE6DB3F30B41A8777819C9D04056923C74E052E
1C4FDDDBB8402D3A1E70E5DCD4C0187C6F55ABA3
1F966B8540CF9716640DF39FA0B97FBA62200C1F
1FCE2D1735C226DC688EC191B18EF773D0B51830
2145B398927E056AFEA963CCEE39D60760F4FD21
2172B67E6E17944C74468634C1BB52269187D633
227198CB1BB02601E707892DC50CB9F11D1C62
25E43D900CD7AA89A209F97CC8B1E718B2E98F6B
2B0D9C7D0D9C847822283EBCB7D4E650A5DC8104
2C4B970778D8F4441EB93DA34A279E7A678E370A
2F6320819D541AE804873EA5AD3E93C0B21028F3
2F635862C92A31CE39F87262D77FC022810F40D3
31AE67F632FC6B278BD6D50D298585BF53A844DB
3356BFD26189533E8E77BFC6E59A5ED25F6BE1E2
354D5135660292C9D4DD5C394ECAAC5DC3719D8A
37902317F4B751C80C4404F6FC6A831602B9B540
3918E9F79C154F6031DA52A21F1F7477715B28BC
3B0B403BAFC72FD86EEC6474886AA7233083888F
3DD1A7A8533676FD471C69AD39DCEE0FBBE7E1FD
4186AECA8B229B51EFD559E7B839E669374673AD
426D064FDBB9AFB694F67F37942BBBD0CE4AD69
42C4F415580B0EB17E139E92A2DA111BF6CCAF7F
446C3F1EFB3A44FEA98F23AEBBC925DD0C330BE6
4596E0D116A511E204A57877538EA26D174E269E
46D398B78C2DFF0118100B6507F049E867E5195F
4709995AC0FB5F32129AAD235755A8BEB9B355ED
47918740BA72FD3857F209069D6674AF8EFD411B
49A56E7A0BCF3538555078BFFA7DDBB60ADF0DDE
4C3D825798056EEF7E3FE33BDA777F9E70D4E7D4
4F4781B24879DF51652DF3FB24F156F76F78B376
4F6EEA69CD44E5065EAD8655BC4105375D33A06
5B96C0349C07D6B37F1D3EC9F792CB5848FC48C6
5CD88B03821C3B84D7397D166233A15C0041B38B
5D93972D0352DF08DC06FF5AF120B328654B272F
5E7BEB4E8A35B234D263DDE0AED33C9A0D1D57
60CA70EDA899EE58AD419F513F5FB279B89C87A4
60D3445A6A15C8396356AC6F9807965A8E7BFA67
60F638CAD3116DB2FE580C31800A66836D534986
64FC3A6B5F0FA745D66DC66ED2FBC75A7C71C747
660C360B3DF4354FDAFA6454B7E19588FFE296E1
6D90CC4FF3A7F91FDFD904E73CDE3351F14EA828
6FC19EB46CAFC1A18F99119EB7353DE116F1BDFD
718957E417194A6EBD3B55C77AB3EB405E30257B
734F33BCDBF062DDEA90B2B89AF5DC4F0B292594
7688C3DCD43605BDC5E3AED03F6D87E18AEAC9AC
779366C5B356383A2286441EB84140C13000510C
7CD7334FC7CE9701A7C4FE091CC3EC01D07363D9
7DF8023457D50FF9F66CDB4C914206A163BD1713
7F95715B0BF80B7BBECC757D613084D76334101C
830F1387DFEC3D7F8D5678EED8A7C45C76B5DBE6
8368E9DEAE2F880D37232E57240CA893472C8BD3
8AFECBF940273C979D01856E1332EFF6EFE24D09
900E1C9666EECACA47DD59D908EED5480CF92953
9166AB0420C9223F23AC5C4EC5503F75505E5770
94D723C409EF4C4308113F3DBB3CB7E1084C3E12
966B722D6180AC774CFF51CFD20A1C1B966E3F43
98826BC207F1914867572561B4E0643DBE8FD8E4
9DD65F76AAF739AEF7EB9D4601ED366B3B48B121
9E6E772E41F452ED695310BCFA2B88429F12100A
9EDA0E8C2F0EDE283DC1457E4967002BDF3D376F
A9A0A33466B54A5617F986F6B160E10C5B8D81DA
AEF7725E9B945C7BCCCD7A23B1C1C1E40EEAC774
B052FC4D36F40C225397127EFB31628E8B96DC48
B563B60ED58C99199CCAB44496F858A5D42E54E7
B56A6FB4EC95793407752294782EF914EF497C8F
B57736D4F14F4E157D23C14E627A817A03C2DE24
B703848F4BC390E3E9516E3E4C746AD7C616FF96
B8F46453C1E5C03DAD1C07AB8705BE3E4F4224D2
BB7438119A8A2F79CFBDAA14DCACA57B17
BB89551AA131832395B1589C0E25D3F013A22A24
BCD2027681DD5628F0741B79B1D7C2AC4573D8E2
BD3859586D4C1701498EEFD05BB2E016848CE95D
BF42743314770340DDB5C80F22F39C6E07F74252
BFCB367868E4CFBA880E41B37241E089382F424C
C0B5CE4D03AED769DCCD5BA2BB5296C7D9F55F68
C13BED8DADA964EBF2A88786715FF83F0A1A8BCA
CBA77FE9FA0759AE0CD073D3B126F73BEB340814
CC98D9E90B7DA6E314434A246653B718ABF72FBB
CD880876565DF58EAFC033C0D207E2B2613F8C0D
CE1B68F65E2CC9A060996E58101B80C907C63377
D1D603E24FD82B6BE32B99A25A86F6CD46F3A8AF
D7423A1F56FFF460031419856FE4F7C557E1A2BF
D8ACB99F04A5EC3E355B947885E02977D6C37AF0
DA6603AC6CB47A3C448CB232EB0116BD62C7E4
DD1E3544F8363517556A91EBA40E85EE3638528E
DE5F6E4F559BD9FD716271AA35AFF961DF620B84
DEEC9543303C8211AD2C781F4AA936EFC191F64F
DFF022EC8223676E0D792DD126EE91B0D3059C4C
E22D6F80F0FA05446D3AF7D57EB920BA89DBEE9E
E31ABA7D0BBE49F7E66BD04379BC4837A7C91E46
E3204213E526C6ED3F8BE49D8E493DB5E92EC52A
E51519CF8C9522B4266D7CFC7125AF111DB259E7
E6AB36FE3BBDE63B28BFDF27D8890048FEA1E66D
E95A1D9E57821EBA66B421A587A014EB297DE69F
EABBBBBB8ADBFE1F0E92AD7B64D960600924C9
EBB140CDF75386E0FA7746910EB6596323184A7F
EDFA500254F315407783F302E85A27D8C802E4F8
EE8198049EBE16E2BA86163361FE4B5F7768FA2E
F0C6B2DEAB37A6BF78E4DF66FC4DD538F5658F6A
F15ED7BE791A2DD2446A7EF5DF748ACB474C0E98
F3DD44C8FC41D466685D8F3B9D3EA59C479230B6
F8353AB3D4D6575FD68BE1ECCF6446A5100925C9
FA22EB25A1FCBD26D5E6B88B464B61BCC4B303C2
FAEE079AABB92B4C887BA3FBEE4D1D63732D72A3
FD37E55481C7941B420950B0979586BDE2BA6B8A
FFD169CBB8E6DC9F1465AC82DDDC4C99AB59C619
Sürüm 2.4
896FB40BACBF8B51A06AAF49523DE720D1C21D53
A997A5316D4936F70CDF697DF7E65796CE11B607
Sürüm 2.5
27ED3426EA5DB2843B312E476FFFCF41BA4FDD31
C4074FCC7A600707ADCAF3DD5C0931E6CBF01B48
Kayıt defteri değerleri
GoBotKR tarafından kullanılan kayıt defteri anahtarı [HKCUSOFTWARE] altındaki bir alt anahtardır ve çoğunlukla meşru yazılım adlarını taklit eder.
Aşağıdaki kayıt defteri değerleri kullanılır:
ID
INSTALL
NAME
VERSION
REMASTER
LAST
WATCHDOC
Taktik | ID | Name | Açıklama |
İlk Erişim | Zararlı Yazılımın Bulaşması | GoBotKR, oyunlar veya Kore film/TV dizilerinin kılığına girerek, Güney Koreli kurbanlara torrent dosya paylaşım siteleri aracılığıyla dağıtıldı. | |
Yürütme | Komut Satırı Arabirimi | GoBotKR, komutları çalıştırmak için cmd.exe kullanır. | |
Komut dosyası | GoBotKR, komut dosyalarını indirebilir ve yürütebilir. | ||
Kullanıcının Dosyayı Çalıştırması | GoBotKR, bir kullanıcıyı tıklamaya ikna etmek için, zararlı yazılımlarını kullanıcının indirmeyi amaçladığı torrent içeriğine benzetir. | ||
Zararlı Yazılımın Kalıcılığı | Kayıt Defteri Çalıştır Tuşları/ Başlangıç Klasörü | GoBotKR, bulaştığı bilgisayarda ikametini devam ettirebilmek için kayıt defteri çalıştırma anahtarları altına kendini yükler. | |
Zamanlanmış Görev | GoBotKR, zararlı yazılım kalıcılığı oluşturmak için bir kayıt defteri çalıştırma anahtarı ekleyen bir görevi zamanlar. | ||
Ayrıcalık Artışı | Kullanıcı Hesabı Denetimini Atlama | GoBotKR, Registry Hijacking kullanarak UAC kullanımını baypas etmeye çalışır. | |
Savunmadan Kaçınma | Deobfuscate (Karmaşık Bir Yazılımı Basitleştirme)/Dosyaların veya Bilgilerin Şifresini Çözme | GoBotKR dizeleri, komutları ve dosyaları karmaşık hale getirmek için base64 kullanır. | |
Güvenlik Araçlarını Devre Dışı Bırakma | GoBotKR, yerel güvenlik duvarı kuralları istisnaları eklemek için netsh kullanır. | ||
Gizli Dosyalar ve Dizinler | GoBotKR kendisini Gizli ve Sistem niteliklerine sahip bir dosyada saklar. | ||
Ana Bilgisayarda Gösterge Kaldırma | GoBotKR, dosyanın internetten indirildiğini gizlemek için Bölge tanımlayıcısını dosyanın ADS'sinden (Alternatif Veri Akışları) kaldırır. | ||
Maskeleme | GoBotKR, meşru yazılımlarla ilişkili dosya adlarını ve kayıt defteri anahtar adlarını kullanır. | ||
Kayıt Defterini Değiştirme | GoBotKR, kendi yapılandırma verilerini kayıt defteri anahtarlarında saklar. | ||
Belirsiz Dosyalar veya Bilgiler | GoBotKR dizeleri, komutları ve dosyaları karmaşık hale getirmek için base64 kullanır. | ||
Yedekli Erişim | GoBotKR, sisteme ikinci bir kopyasını yükler, bu da kaldırılırsa birincil kopyayı izler ve yeniden yükler. | ||
Sanallaştırma/Sandbox'tan Kaçınma | GoBotKR, bir sandbox'ta taklit edilmekten veya çalıştırılmaktan kaçınmak için bulaştığı makinede çeşitli kontroller gerçekleştirir. | ||
Keşif | Güvenlik Yazılımı Keşfi | GoBotKR, güvenlik ürünleri ve hata ayıklama araçları ile ilişkili işlemleri kontrol eder ve herhangi biri tespit edilirse kendini sonlandırır. wmic komutunu kullanarak yüklü antivirüs yazılımını inceleyebilir. | |
Sistem Bilgisi Keşfi | GoBotKR, sistem ve kurulu yazılımlar hakkında bilgi toplamak için wmic, systeminfo ve ver komutlarını kullanır. | ||
Sistem Ağı Yapılandırması Keşfi | GoBotKR, ağ yapılandırması hakkında bilgi toplamak için netsh ve ipconfig kullanır. İstemcinin IP adresini almak için Naver ve Daum portallarını kullanmıştır. | ||
Sistem Sahibi/Kullanıcı Keşfi | GoBotKR, mağdur kullanıcı hakkında bilgi toplamak için whoami kullanır. Mağdur kullanıcının ayrıcalık düzeyini belirlemek için testler yapar. | ||
Sistem Zamanı Keşfi | GoBotKR, bulaştığı sistemin tarihini ve saatini alabilir. | ||
Yanal Hareket | Uzaktan Dosya Kopyalama | GoBotKR, kendisini bulut depolama hizmetlerinin (Google Drive, Dropbox, OneDrive) ortak klasörlerine kopyalamaya çalışır. | |
Çıkarılabilir Medya Üzerinden Çoğaltma | GoBotKR çıkarılabilir medyaya kendisini bırakabilir ve bir kullanıcı çıkarılabilir medyayı başka bir sistemde açtığında kötü amaçlı dosyayı çalıştırmak için Autorun'a güvenir. | ||
Toplama | Ekran Görüntüsü Alma | GoBotKR ekran görüntülerini yakalama yeteneğine sahiptir. | |
Komut ve Kontrol | Bağlantı Proxy'si | GoBotKR, proxy sunucusu olarak kullanılabilir. | |
Veri Kodlaması | C&C sunucusu ile iletişim base64 ile kodlanmıştır. | ||
Uzaktan Dosya Kopyalama | GoBotKR, ek dosyalar indirebilir ve kendisini güncelleyebilir. | ||
Standart Uygulama Katmanı Protokolü | GoBotKR, C&C için HTTP veya HTTPS kullanır. | ||
Yaygın Kullanılmayan Bağlantı Noktası | GoBotKR, C&C için 6446, 6556 ve 7777 gibi standart olmayan bağlantı noktalarını kullanır. | ||
Impact | Uç Nokta Hizmet Reddi | GoBotKR, TCP Flood veya SYN Flood gibi uç nokta DDoS saldırılarını yürütmek için kullanılmıştır. | |
Ağ Hizmet Reddi | GoBotKR ağda DDoS yürütmek için kullanılmıştır. | ||
Kaynak Kaçırma | GoBotKR, torrent yerleştirmek veya DDoS yürütmek için saldırıya uğrayan bilgisayarın bant genişliğini kullanabilir. |