Gündem

Hack’lenen Bilgisayarları Uzaktan GUI ve Komut Satırlarıyla Kontrol Edebilen Hack Araçları Keşfedildi

Araştırmacılar trojan ve arka-kapı görevi gören ve hala sürmekte olan Balkanlardan (balkans) iki tane yeni zararlı hacking aracı (hacking tools) (BalkanRAT, BalkanDoor) keşfetti.

Zararlı yazılım yazarları bu araçları iki farklı özellikle geliştirdiler. BalkanRAT, sızılmış bilgisayarı uzaktan grafik arayüz aracığıyla kontrol eden uzaktan erişim trojan’ıdır ve BalkanDoor, aynı işlevi komut saturu arayüzü kullanarak yerine getiriyor.

ESET araştırmacıları tarafından telemetry data’sı baz alınarak öğrenilene göre, Balkan kampanyası bu araçları 2016’dan beri çeşitli ülkeler olan Hırvatistan, Sırbistan, Karadağ ve  Bosna Hersek’e yayıldı ve 2019’da bu kampanya ifşa ortaya çıkarıldı.

Zararlı kişiler zararlı yazılımı dosya eki, linkler ve decoy PDF’leri yaymak için kullanıyorlar ve araçların her ikisi de  kurban bilgisayarlara kontrolü almak için hedefleniyorlar.

Her iki araç da zararlı dijital sertifikalarla imzalandı ve Windows oturum açma ekranını açması için uzaktan yardım eden ve zarar görmüş sistemin çoğu yetkisini alan Windows servisi gibi çalışıyor.

Balkan Kampayasındaki Zaafiyetin İşleyişi

Malspam mailler iyice ayarlanan resmi kurumların meşhur siteleriyle dağıtılıyor ve zararlı dosyayı yerleştirmesi için ayarlanıyor.

Bağlantı yeri WinRAR öz-ayıklayıcı olan çalıştırılabilir PDF olan yerleştirilen zararlı yazılım, kurbanı kandırmak için zararsız PDF görevi görüyor.

Bir kere çalıştırıldığında, zararlı PDF belli etmeden her iki BalkanRAT veya BalkanDoor’u sızdırıyor.

Son zamanlarda meşhur olan BalkanDoor, özellikle WinRAR ACE zaafiyetini (CVE-2018-20250) exploit etmek için yapılmış olan ACE arşivi olarak dağıtıldığı tespit edildi.

Saldırganlar çoğu zaman her iki aracı da aynı sisteme yerleştirirler, saldırı, sistemi her iki grafiksel arayüz ve komut satırından kontrol eder.

ESET’in araştırmasına göre, saldırgan, kurbanın ekranının kapalı olduğu zaman çoğunlukla bilgisayarını kullanmadığı (Balkan Door aracılığıyla bilgisayarın kilitlendiğini gösteren ekran görüntüsü yollar veya BalkanRAT’ın View Only mode aracılığıyla) keşfettiğinde BalkanDoor arka kapısıyla saldırgan ekranı açmak için backdoor komutu yollar ve BalkanRAT kullanarak bilgisayarda ne yapmak istiyorsa yapabilir.

BalkanDoor arka kapı aracında dışarıya sızma kanalı bulunmazsa, saldırgan dışarıya sızma kanalına toplanan veriyi yüklemek için ihtiyaç duyar veya saldırgana yollanması için yedeğini alabilirler.

BalkanDoor – Arka Kapı

  1. Shell’i uzaktan kontrol etmek için ve ekran görüntüsü almak için ufak numaralara sahip sade arka kapı.
  2. Kurbanın bilgisayarında otomatik bir şekilde işlem çalıştırabilir ve aynı anda birçok bilgisayarı kontrol eder.
  3. BalkanDoor bilgisayarın C&C sunucusuna bağlanmasına izin veriyor, kendisini bilgisayar adına göre tanımlıyor ve komutları istiyor.
  4. HTTP veya HTTPS protokolleri aracılığıyla bağlanır.
  5. Eğer bağlantı başarılı olmazsa proxy’yle tekrardan bağlanmaya çalışır.
  6. BalkanDoor, ekran kilidini açmaya, uzaktan erişimli shell yaratmaya ve girdi/çıktıyı belirlenen IP adresini yönlendirmeye ve şifresiz bir şekilde ekran kilidini açmayan yarıyor.

BalkanRAT – Uzaktan Erişimli Trojan

  1. Çok güçlü ve BalkanDoor’a göre daha karışık.
  2. Uzaktan erişimli yardımcı yazılımın kopyasını konuşlandırması en etkili özelliğidir.
  3. Cihaz hafızası bilgisayara veya uzaktan yöneticiliğe erişmek için uzaktan erişimi kullanır.
  4. Saldıran PDF dosyasını kullanıcıda şüphe uyandırılmaması için açar.
  5. Çekirdek bileşeni keylogger görevini üstlenir.
  6. BalkanRAT Uzaktan erişimli hizmetleri kötüye kullandığından, insanlar normal olarak görüyor.

ESET, “BalkanRAT ve BalkanDoor bazı özelliklere sahip olmak için çalışmalara başladı ve her biri ayrı ayrı kurban için kayda eğer riskler teşkil ediyor. Eğer ‘toolset’ gibi beraber kullanılırsa, çok büyük bir güç elde edebilirler. Bu fonksiyon organizasyonlar için oldukça kritik.” dedi.

Daha Fazla Göster

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir