Daha önceki yazımızda HIKIT isimli zararlı yazılımı incelemiştik. Mandiant tarafından yapılan açıklamada, bu zararlı yazılımın Amerikan Savunma Bakanlığı ile ortak çalışan müteahhit firmalardan veri çaldığı belirtilmişti. Bu sonucuna varmalarındaki en büyük kanıt ise Mandiant’ın müşterileri arasında bu müteahhit firmaların bulunması ve bu firmaların enfekte olmaları, Mandiant’ın da bu enfeksiyonları inceleyerek elde ettiği verilerdi.

Internet üzerinde HIKIT hakkında detaylı bir açıklama veya analize ulaşmak mümkün değil. Daha öncesinde belirtildiği gibi yapılan teknik analizlere rağmen bu zararlı yazılımın arkasında kimler olduğu hala belirsiz.  Mandiant’a göre olayın arkasında Çin menşeili bir APT grubunun olması muhtemel.

Bu seferki çalışmamız, bir öncekinin aksine teknik analizden biraz daha uzak ve daha çok olayın soruşturulmasıyla ilgili. Daha önce incelediğimiz bu zararlı yazılımın kaynağı hakkında biraz daha derinlere inmeye karar verdik.

Bir önceki analizde bu zararlı yazılımın nasıl bulaştığı konusunda detaylı bir açıklama mevcut değildi. Yaptığımız araştırmalar sonucunda aslında bu zararlı yazılımın sistemlere bulaşmak için “Microsoft Internet Explorer” üzerinde çalışan Java Script kodlarından faydalandığını gördük.

 

Problem Ürün Üretici
Exploit:HTML/IframeRef.Z Internet Explorer Microsoft

 

Peki zararlı bu haliyle nerelerden bulaşıyordu? Bunun için tüm sonuçları listelememiz mümkün değildi çünkü her biri için ayrı araştırma yapmak oldukça fazla vakit gerektirecek bir konu. Doğrudan hedef alınan bir sistem olduğunda, tabi ki bu araştırmaları yapmak mümkün olacaktır. Bizim odak noktamız analiz ettiğimiz zararlı yazılımdı çünkü HIKIT oldukça fazla varyanta sahip bir zararlı yazılım.

Yukarıda belirtildiği üzere bu “exploit” kodunun hangi web siteleri üzerinde bulunduğunu araştırmaya başladık. Sonucunda “exploit” kodunu kullanan sitelerin bir listesine ulaştık. Aşağıda bu siteler listelenmiştir.

Alan Adı Listesi

tkit.tk
tweak.tk
ahraz.tk
html-channel.com
freedomains4all.tk
html-site.nl
goodman-shirt.de
html-rulez.ru
html-studio.ru
tkmailias.tk
webnews.it

 

Her bir domain için araştırma yaptığımızda, birçoğuna ait elle tutulur bir veri bulamadık. Bunun sebebi kayıtlı bir domain bulamamamızdı. Aralarında sadece tek bir alan adına ait bilgi mevcuttu. Araştırmalarımızı bu alan adı ve üzerine kayıtlı olduğu kişi üzerinden yürüttük ve bulduğumuz mail adresine kayıtlı diğer domain adreslerini tespit ettik, tabi bu sırada bu sitenin hack edilerek alan adının çeşitli zararlıların bulaştırmak üzere araç olarak kullanılmış olabileceğini de unutmamak gerekir.

Kayıtlı Diğer Alan Adları

cristianos.ws
clfooter.ws
gaypornreviews.ws
duuf2gnia9bt18h7qy1tg621k.ws
888games.ws
fel0ny.ws
ukrainegirls.ws
spydirectory.ws
pandorabox.ws

Yukarıda görülen alan adlarının birçoğunun aşağıda görülen mail adresine kayıtlı olduğunu tespit ettik. Alan adlarına ve o tarihe ait domain WHOIS kayıtlarına bakacak olursak bu kayıtların aslında kasıtlı yapıldığı anlaşılabilir.

3-1

 

En başta HIKIT’I bulaştırmak için indirilen dropper’ın MS Internet Explorer üzerine çalıştırılan Java Script kodu ile mümkün olduğunu söylemiştik. Aslında yaptığımız araştırmalarda sadece buna bağımlı kalmaktansa farklı uygulamalarda bulunan güvenlik açıkları da kullanılmış. Adobe Flash Player uygulaması bunlardan sadece bir tanesi.

Buraya kadar HIKIT’in nasıl enfekte olduğu konusunda bir fikrimiz vardı fakat C&C sunucuları hakkında bir bilgi yoktu. Yukarıdaki alan adlarının bağlı olduğu sunucuları incelediğimizde sonuçlar şu şekildeydi;

IP Ülke
94.76.200.157 İngiltere
46.4.34.4 Almanya
87.106.29.14 Almanya
77.222.40.38 Rusya
208.82.114.84 Amerika
206.246.140.14 Amerika
24.223.234.70 Amerika
173.9.9.178 Amerika
91.199.120.6 İspanya
94.228.86.11 Slovakya
88.191.150.8 Fransa

 

Yukarıdaki adresler ile doğrudan iletişimde olan, yani HIKIT için ilk atakların yapıldığı IP adresleri ise çok farklı noktalardan merkez ile iletişime geçmekte. En yoğun iletişim ise İspanya’da bulunan sunucu üzerinden gerçekleştirilmekte. Bu sunucuya en fazla zararlı yazılım aktarımı ise Çin’den gerçekleşiyor.

3-2

 

Çin’den gerçekleşen zararlı yazılım dağıtımlarının kontrol edildiği sunucuya ait IP adresi ise aşağıdaki yerleşkeye işaret ediyor. Aynı noktayı bu sefer adres arayarak değil de, bu adreste ne olduğuna bakmak için sorguladığımızda ise, “Çin Halk Cumhuriyeti – Guiyang (Guiyang People’s Government)” yerleşkesi görülmekte. Bu da bizim bu zararlı yazılım dağıtım merkezinin bir Çin devlet yerleşkesi olduğu konusundaki şüphemizi arttırdı. Lakin elimizde hala somut delil olamadığı için bu durumdan emin olamamaktayız.

3-3

 

Alt tarafta işletilen iletişimler hala aktif olmakla birlikte bu zararlı yazılımın çok farklı vektörler ile ilgili olduğu söylenebilir. Kullanılan Exploit Kit yazılımlarını incelediğimizde ise çoğunlukla “Blackhole Exploit Kit” adı verilen yazılıma rastladık.

3-4

“Maltego ile oluşturduğumuz organik graph”

 

HIKIT zararlısının kaynağı hakkında hala kesin ifadelerde bulunmak mümkün değil, çok dağıtık bir yapıya sahip ve elde edilen verilerin doğruluğunu inkâr edilemez şekilde delillerle ortaya koymak zor. Yukarıda görünen grafik yapısı, HIKIT ile organik bağlantısı bulunan birçok vektörü içermektedir. Her ne kadar alan adlarının çoğu Almanya ve Rusya kaynaklı olsalar da, alan adlarının barındırıldığı ve zararlıların asıl yayılma noktası olan sunucular çok fazla yerleşkeye dağıtılmış durumda.  Her ne kadar en fazla dağıtım kaynağı Çin olsa da Endonezya, Macaristan, Romanya, Kore gibi birçok farklı ülkeden zararlı dağıtımı yapılıyor.

Sonuç olarak kaynağı konusunda kesin bir hükme varılamayacak olsa da, araştırmamızın çoğunlukla Çin ekseninde dönmekte olması, aslında güncel tehditleri de göz önünde bulundurduğumuzda, zararlının kaynağı hakkında kuvvetli bir fikir sahibi olmamızı sağlıyor.

 

Trend Micro – Deep Discovery Inspector

HIKIT zararlı yazılımının ağ üzerinde tespit edilmesine yönelik yaptığımız çalışma için Trend Micro – Deep Discovery Inspector ürününü kullandık. Deep Discovery Inspector, zararlı yazılımları ağ üzerinde tarayarak içerisinde barındırdığı “Virtual Analyzer” modülü ile detaylı olarak analiz yapabilmektedir.

3-5

 

Öncelikle, oluşturduğumuz çalışma ortamına Trend Micro Deep Discovery Inspector’ü konumlandırdık ve akabinde ağ trafiğimizi omurga switch üzerinden Deep Discovery Inspector’e yönlendirdik. Ağ trafiğini dinlemeye başlayan Deep Discovery, ağ trafiğimizden geçen HIKIT zararlısını yukarıdaki ekran görüntüsünde de görüldüğü üzere yakalamayı başardı.

Log kaydına baktığımızda, zararlı yazılımın kaynağı, enfekte olan IP adresi ve protokol bilgileri gibi çeşitli veriler yer almakta. Eğer isterseniz zararlı yazılımı daha detaylı incelemek adına Trend Micro’nun Threat Connect platformuna bağlanarak bulut üzerinde yapılan analiz sonuçlarına ulaşabilirsiniz.

3-6

 

Biz bu detayları görmek için Threat Connect platformuna bağlanmayı tercih ettik. Bunun için Deep Discovery’nin yakaladığı zararlı yazılımın detaylarına girerek sadece tehdit ismine tıklamanız yeterli olacaktır.

3-7

 

Tehditle ilgili detaylı bilgi istediğinizde, Deep Discovery size otomatik olarak Threat Connect platformuna aktaracaktır. Bu noktadan sonra Trend Micro laboratuvarı tarafından yapılan analiz sonuçlarını görebilmek mümkün. Açılan sayfada zararlının özet bilgileri ve görselleştirilmiş bir organik bağıntı grafiği yer almaktadır.

3-8

 

Grafiklerin üzerine tıklayarak detayları görmeniz mümkün. Biz bu aşamadan sonra örnek rapora ulaşabilir ve HIKIT hakkında biraz daha detaylı bilgi edinebiliriz. Aynı ekranda bulunan harita üzerinden HIKIT isimli zararlı yazılımın en çok hangi ülkelerde aktif olduğunu görebilirsiniz.

3-9

 

Yukarıda örnek raporda zararlının etkilediği sistemleri, dosya formatını, oluşturduğu ya da etki ettiği süreçleri görmeniz mümkündür. Eğer zararlı yazılım hakkında bu kadar detay yeterli değilse, Trend Micro Threat Connect daha derine inerek zararlının adım adım çalıştırılma anında yarattığı etkileri size gösterebilir.

3-10

 

Aynı ekran üzerinde bulunan “execution flow” sekmesine tıklanarak saniye saniye zararlının sistem üzerinde hangi kaynakları kullandığı ve yaptığı modifikasyonları size sunabilir. Yukarıda kullanılan API ve zararlının zaten enfekte olduğu bir sisteme tekrar enfekte olmamak için oluşturduğu Mutex nesneleri listelenmiştir.

İlgili nesnelerin ve kayıtların üzerine tıklayarak detayları görmeniz mümkün, örnek olarak, aşağıda yer alan resimde sistem üzerinde oluşturulan veya değiştirilen Registry değerleri yer almaktadır.

3-11

 

Trend Micro Deep Discovery ve Threat Connect, tespit ettiği zararlılara ait ve normal kullanıcıların dahi anlayabileceği seviyede rapor sunabilmektedir. Aynı zamanda, manuel olarak zararlı yazılımın nasıl silineceğine dair açıklamaları sunmaktadır.

3-12

 

Yukarıda yer alan resimde HIKIT zararlısının nasıl silineceğine dair gerekli açıklamalar adım adım açıklanmıştır. Üstelik bunu yaparken zararlı yazılıma bağlı olarak bir kaç farklı yöntem sunabilmektedir.

ATTACHMENTpdfHIKIT-Investigation

 image002

 

Yasin SÜRER
Bilgi Güvenliği Uzmanı
yasin.surer@boateknoloji.com

Leave a Reply