Teknolojix Haber
TeknolojiXHaber YAZILIM

Windows savunmasını Kıran mLNK Builder’ın yapısı

Windows savunmasını Geçebilen mLNK Builder'ın yapısı

Windows savunmasını Kıran mLNK Builder’ın yapısı

Özellikle  bulaş yolu  zincirinin her aşaması kullanılmak için hazır bulunan  araçlar kolay ulaşılabilir olduğundan,  bilgisayarlara karşı virüs saldırısı başlatmak artık saldırıyı yapan hackerın  teknik yeterliliğinin yüksek olamasını gerektirmiyor. Payload builderlerı ve MaaS (Hizmet Olarak Zararlı Yazılım) sağlayıcıları, Forumları hacklemede başarılı olan saldırganları bir dökümanı toplum mühendisliğ yapma zahmetinden  kurtaran programlardan bir kaç tanesidir. Güvenlik çözümleri ve Anti-Virüs ürünleri bunlara karşı koruma konusunda oldukça yeterli olmaktadır.Buna rağmen Bu araçları kolayca erişilebilir ve bulunabilir hale getirmenin bir çok dezavantajı vardır.  Kayıt dışı satıcılar kötü niyetli dosyaları daha gizli ve daha az tespit edilebilir hale getirmek için hizmet vermeye başladı. Bunun en iyi örneği mLNK Kısayol Oluşturucu’dur.Windows savunmasını Kıran mLNK Builder’ın yapısı incelemesi aşağıda yer alıyor.

mLNK Shortcut Builder

mLNK  Builder ile  ilk karşılaşma , yöneticisi “Renive Stimpy” adılı bir kullanıcı olan  “NativeOne Ürünleri” adlı bir Discord kanalındaki bir reklam sayesinde gerçekleşti .

mLNK gönderilen paketlerin ,Windows Defender, Windows 10 Akıllı Ekran ve UAC gibi güvenlik çözümlerini atlatmasını sağlamak için veri paketlerini LNK kısayollarına çeviriyor.

LNK veya LiNK dosyaları  Windows işletim sisteminin bir dosyayı işaret edebilmesi için kullandığı kısa yollardır. Bu kısayollar çoğunlukla “Masaüstü Klasöründe ” yerleşir ve sık kullanılır.

Kısayol simgelerine giden kısayol noktalarının dosya türüyle eşleşmesi gerekmez bu nedenle PowerShell i çalıştırmak için LNK dosyalarından yararlanılabilinir. Kurbanlar hangi tipte bir dosya açtıklarının farkına bile varamazlar.

Geliştiricilerin bu aracın eğitim amaçlı oluşturulduğu iddiasına rağmen, bulunan kanıtlar, yazılımın gerçek amacının bilgisayar kullanıcılarına kötü amaçlı dosyalar göndermek olduğunu göstermektedir.

Böyle bir durumda,  BAE merkezli “Bin Rashed Taşımacılığı ve Genel Sözleşme” adlı e-posta adresinden , Amerika Birleşik Devletleri’ ndeki bir hedefe LNK dosyası gönderildi.

İleti, S001’den bir HTA payload  indiren Doc001.png.lnk [.]  adlı kötü amaçlı bir eklenti içeriyordu. Bir önceki raporda müzakere edildiği gibi son Payload CypherIT ile paketlendi. (dosyaları şifrelemek için kullanılan bir program AutoIt  )

mLNK geliştiricileri kötü amaçlı dosya geliştiren CypherIT’i uygun buldu ve hatta kendi programlarının yanında kullanılmasınıı önerdi.

mLNK nın Özellikleri

Yukarıda bahsettiğimiz dosya dönüştürmeye ek olarak aşağıdakileri de yapabiliyor.

mLNK Kısayol  Oluşturucu’nun (mLNK Shortcut Builder) diğer özellikleri arasında, Payload’ın(yük)  gönderilmesini geciktirmek veya eş zamanlı olarak oltalama  belgesi açmak var. Böylece kurbanın, yani hedef bilgisayarın  herhangi bir etkinliği tespit etmesi daha da zorlaşmaktatır.

Geliştiriciler reklam olarak aşağıdaki metini yayınladı:

“mLNK kısayol oluşturucu “EXE” uzantılı dosyalarınızı “LNK”uzantılı kısa yollara çevirir bu sayede windows defender’ı rahatlıkla atlatarak karşı bilgisayara dosyanızı yükleyebilirsiniz.”

Böyle bir program tabii ki bedavaya gelmiyor.  mLNK Kısayol Oluşturucu için en ucuz destek planının ücreti  50$(dolar) civarında. En ucuz program saldırgana bir ay boyunca mLNK Builder’a erişim izni veriyor, bu süre bir bilgisayara başka bir koruma katmanı eklemek için yeterli zamandan fazladır.

mLNK için yapılan analiz sonucunda programa ödenen bu nispeten az ücrete göre mLNK Builder, 1 yıldan az bir sürede yaklaşık  230 müşterisinin Payload işlemlerini daha az tespit edilebilir hale getirdi. Programın yaratıcıları bu sayede  en az 11.000$ dolar gelir elde etmeyi başardı.

Pazarlamada Kullanılan Kanallar

mLNK, Discord kanalında “NativeOne Exploits” tarafından geliştirilen ve kötü amaçlı ekleri “IMG” veya “ISO” dosyalarına dönüştüren ve e-posta korumalarını atlatmalarına(bypass) izin veren araçlar da dahil olmak üzere tanıtıldı. Ancak, pazarlama çabaları belirli bir Discord kanalı ile sınırlı değildi. Ürünler aynı “Ren ve Stimpy” avatarına sahip bir kullanıcı ve “Qismon:” adlı bir kullanıcı tarafından çeşitli bilgisayar korsanlığı(hacker) forumlarında tanıtıldı. İlginç bir şekilde ,Haziran 2018 de,bahsi geçen iki kullanıcının ,bu forumlardaki üyelerin tümünün teknik bilgilerini sorguladığı gözlemlendi.

Forumlarda; .NET uzantılı çalıştırılabilir  dosyaları yerel dosyalara dönüştürmeyle ilgili sorulan  soruların yanıtları; daha sonra mLNK yazarlarının web sitelerinde sattığı yeni ürünlerin geliştirilmesine ve yayınlanmasına yol açtı.

Benzer şekilde, Windows10 , UAC Bypass yapılaması gibi; mLNK Shortcut Builder’ın kendi özelliklerinden bazıları, bazı forum yazarlarının daha önce sorduğu sorulardan yola çıkılarak geliştirimişti. mLNK ya ait iplikler(threads); online forumlardaki yazarlar hakında bazı bilgileri verdi. Örneğin, iletişim detaylarını incelediğinde  CCC (Chaos Computer Club) Jabber sunucusundan ve jabber.ccc [.]de yapısından,  bahsettikleri fark edildi.

Ayrıca, mLNK Kısayol Oluşturucu için demo videosu, yazarların işletim sisteminin Almanca olduğunu gösteriyor.

 mLNK Builder a nasıl sahip olunur?

Discord’da anonim bir kullanıcı tarafından paylaşılan bir gönderi, mLNK satın alındıktan sonra alınan sipariş onayını içeriyordu. NativeOne [.] Com: 8020 / tokena(parçalayıcıya) erişme, kullanıcıdan kimlik bilgilerini ayarlamasını ve yukarıdaki e-postada alınan tokenı girmesini isteyen bir kayıt sayfası gösteriyor.
Şaşırtıcı bir şekilde, tüm alanlara bilgileri eksiksiz girdikten ve “Kaydet” düğmesine bastıktan sonra, yaklaşık 10 KB boyutunda bir çalıştırılabilir dosya hemen bilgisayara indiriliyor. İndirilmiş çalıştırılabilir dosyayı disassambler da (virüsü tanınabilir bir yapıyı açığa çıkarma  programı) açmak PowerShell scriptini çalıştırıldığını gösteriyor.

Çalıştırılan PowerShell scripti native-one[.]com:8020/client_auth. adresinden bir dosyanın yüklenmesini sağlıyor. Daha sonra da base64 programı kullanarak anlaşılabilir hale getiriyor ve AES256 programını kullanarak da deşifre ediyor.(şifresini çözümlüyor).

Bütün bunların  sonucu olarak; mLNK Shortcut builder’ın 2.2 versiyonu olarak farklı bir PowerShell  scripti ortaya çıkmıştır.

mLNK Sürüm 2.2

Windows savunmasını Kıran mLNK Builder’ın yapısı hakkındaki bu bilgiler savunma programlarının nasıl kırıldığını gözler önüne seriyor.

Builder, daha önce aynı sistemde çalıştırılıp , çalıştırılmadığını belirlemek için aşağıdaki kayıt defteri anahtarını denetleyerek başlar: “HKCU \ Denetim Masası \ Video \ Sürücüler \ Microsoft \ Core” .

Bu, Builder programının  ilk çalışmasıysa, kayıt defteri anahtarı oluşturur ve “Sürücü” değerini “0”(sıfır) olarak ayarlar. Daha sonra Hizmet Şartları penceresi görüntülenir. İlginç bir şekilde, hizmet şartları, mLNK shortcut Builder’ın’nun yalnızca “eğitim amaçlı” kullanılan yasal bir hizmet olduğunu iddia eder. Bununla birlikte, bazı kullanıcılar mLNK yardımıyla kurbanlarının bilgisayarlarına virüs programı bulaştırmayı başardıklarını iddia ediyorlar,bu geri bildirim farklı bir izlenim veriyor. Hizmet Şartlarını kabul ettikten sonra ana mLNK Builder penceresi açılıyor. Bu pencerede kullanıcılar Payloadlarının URL’sini, LNK nın gösterilecek simgesini ve dahil edilecek özellikleri girebiliyor.

PowerShell in yardımı ile yazılmış bir GUI uygulasına  gerçekten yaygın olarak rastlanamazken; mLNK builder kodlayıcıları böyle bir script diline olan hayranlıklarını her fırsatta online forumlarda belirtmişler. Ne zaman; mLNK kullanarak  Payload oluşturulsa dosya ismi: hash (SHA256) olur. Sistem donanım ID ‘si : hxxp://193.37.212[.]15:8020/hash_add adresine,  Kullanıcı-aracısı:  ‘ERSW6XIZWGR2JXX7MR1PWHX6OVRF9KCO’ olarak beraber gönderilir.

Bu işlemin amacı muhtemelen Oluşturucunun yazarları ; müşterilerinin payloadlarını  takip edebilmek, isimlerini ve özet bilgilerini görüntüleyebilmekti.  Ama  bu mekanizma plandığı gibi işlemedi.

Windows savunmasını Kıran mLNK Builder’ın yapısı  incelenirken Ip adressi 193.37.212.15  herhangi bir bağlantı kabul etmedi. Bu sebetten , kodun içinde var olması garip ve sanki yazarlar bu değeri güncellemeyi unutmuş gibi görünüyor.

Payload Yöntemleri

mLNK yı yaratmadan önce;EXE, DLL, JS, VBS gibi kullanılan dosyaları PowerSell, MSHTA veyaSVR32 payloadlarına dönüştürülebiliyordu. Örneğin MSHTA Payload’u VisualBasic scripti olan bir HTML sayfasıdır. Eğer müşteri Genel mLNK lisansına sahip ise, VisualBasic scripti basit bir şekilde PowerShell komunutunu çalıştırır. Bu orjinal olan payload dan temin edilmiş URL yi yükler ve çalıştırır. Eğer gizli Lisans kullanılıyorsa,PowerShell komutu hexadecmal değerlerle depolanır.
Özel lisans durumunda, aynı komut ikili (binary) kodlanmış dize olarak saklanır.

Gizli ve özel lisanslar kullanıldığında daha fazla koruyucu katman eklenir. Örneğin, VisualBasic komut dosyasındaki (script) tüm URL’ler base64 kullanılarak kodlanır ve  “Gizli” özelliğinin yanında “Sistem” özelliği de Payload’a eklenebilir.
JavaScript bir PowerShell komutunun kodunu çözer ve çalıştırır. Bu MSHTA Payload a benzerdir. Eğer kullanıcı gizli veya özel bir lisans kullanıyorsa programlamada kullanılan komut satırları (kodu) hexadesimal veya binary değerler kullanılarak şifrelenir.

UAC  Atlatması(Yakalanmadan içeri sızma)(Bypass)

mLNK Builder’ın mevcut özelliklerinden biride  UAC  atlatması yaparak , yakalanmadan bilgisayara sızmaktır.

Windows un hangi versiyon olduğuna bağlı olarak, Builder tarafından kulllanılan iki teknik bulunur:

  1. Etkinlik Görüntüleyici  tekniği
  2. Fodhelper Tekniği

Windows işletim sistemi sürümü Windows 10’dan daha eskiyse Etkinlik Görüntüleyici  tekniği kullanılır. Bu teknik için payload dosya yolu; kayıt anahtarındaHKCU\Software\Classes\mscfile\shell\open\command "Default(varsayılan)"  olarak ayarlanır. Böylece Etkinlik Görüntüleyici aracı çalışmaya başlar. Bu araç yüklendiğinde ,”mscfile”için atanmış varsayılan uygulamayı meydana getirir.Bu durumda varsayılan uygulama Payload’dır. Bu işlem, Payloadın UAC’yi Bypasslamasını ve yüksek ayrıcalıklarla çalışmasına izin verir. Fodhelper tekniği Windows 10 veya daha yeni sürümlerde kullanılır. Bu teknik için payload dosya yolu;  kayıt anahtarında HKCU \ Software \ Classes \ ms-settings \ Shell \ Open \ "Default(varsayılan)"  olarak ayarlanır.

Sonuç olarak

mLNK Shortcut Builder ; genellikle Windows Defender tarafından hemen kaldırılan veya UAC tarafından çalıştırılması durdurulan  ne kadar iyi bilinir raf payload varsa, bu  korumaları atlayabilir ve kurbanın bilgisayarına kolayca yerleşerek virüs bulaşabilir.

Ama endişelenmeyin; Check Point SandBlast koruması, bu saldırıları başarıyla ele geçirir ve bu raporda açıklanan tüm kötü amaçlı teknikleri engelleyebilir.

Kaynak:research.checkpoint.com

Related posts

ELEKTRİKLİ ARABA

Tuğba Yüksel

David Copperfield’ın Çok Kişisel Hikayesi Sinemalarda

Esra Bostancı

Apple’ın Açığını Bulan Çayan Temel’e 1,5 TL’lik Ödül!!

Fatih Akgün

Yorum Yap