Danabot: Yıkılan bir imparatorluğun analizi 

ESET Research, kısa süre önce çok uluslu bir kolluk kuvveti operasyonunda etkisiz hâle getirilen bir bilgi hırsızı olan Danabot’un işleyişine ilişkin bulgularını paylaşıyor

ABD Adalet Bakanlığı tarafından duyurulduğu üzere, FBI ve ABD Savunma Bakanlığı’nın Savunma Kriminal Araştırma Servisi (DCIS), kötü şöhretli bilgi hırsızı Danabot’un altyapısını bozmayı başardı. ESET, 2018 yılında dahil olduğu bu uzun vadeli çabaya katılan birçok siber güvenlik şirketinden biridir. Katkılarımız arasında zararlı yazılımın ve arka uç altyapısının teknik analizlerinin yanı sıra Danabot’un C&C sunucularının belirlenmesi de yer alıyor. Ortak ele geçirme çabası ayrıca Danabot’un geliştirilmesinden, satışından, yönetiminden ve daha fazlasından sorumlu kişilerin belirlenmesini sağladı. ESET bu çalışmada Amazon, CrowdStrike, Flashpoint, Google, Intel471, PayPal, Proofpoint, Team Cymru, Zscaler, Almanya Bundeskriminalamt, Hollanda Ulusal Polisi ve Avustralya Federal Polisi ile birlikte yer aldı. 

Bu kolluk operasyonları, siber suç şebekelerinin tespit edilmesi, dağıtılması ve yargılanmasını amaçlayan ve hâlen devam etmekte olan küresel bir girişim olan Endgame Operasyonu kapsamında yürütülmüştür. Europol ve Eurojust tarafından koordine edilen operasyon, kötü niyetli yazılımlar aracılığıyla fidye yazılımı dağıtmak için kullanılan kritik altyapıyı başarıyla çökertti. 

Danabot büyük ölçüde çökertildiğinden bu fırsatı kötü amaçlı yazılımın en son sürümlerinde kullanılan özellikleri, yazarların iş modelini ve bağlı kuruluşlara sunulan araç setine genel bir bakışı kapsayan bu hizmet olarak kötü amaçlı yazılım (MaaS) operasyonunun işleyişine ilişkin içgörülerimizi paylaşmak için kullanacağız. Danabot’un hassas verileri sızdırmanın yanı sıra zaten tehlikeye girmiş bir sisteme fidye yazılımı da dahil olmak üzere başka kötü amaçlı yazılımlar sunmak için de kullanıldığını gözlemledik. 

Blog yazısının kilit noktaları: 

• ESET Research, zararlı yazılımın altyapısında büyük bir kesintiyle sonuçlanan küresel bir çabanın parçası olarak Danabot’un faaliyetlerini 2018’den bu yana takip ediyor. 

• Danabot öncelikle bir bilgi hırsızı ve bankacılık truva atı olarak geliştirilmiş olsa da fidye yazılımı da dahil olmak üzere ek kötü amaçlı yazılımları dağıtmak için de kullanılmıştır. 

• Danabot’un yazarları araç setlerini yeraltı forumları aracılığıyla tanıtıyor ve potansiyel iştirakçilere çeşitli kiralama seçenekleri sunuyor. 

• Danabot’un yazarları tarafından iştiraklerine sağlanan tipik araç seti, bir yönetim paneli uygulaması, botların gerçek zamanlı kontrolü için bir backconnect aracı ve botlar ile gerçek C&C sunucusu arasındaki iletişimi aktaran bir proxy sunucu uygulaması içerir. 

• İştirakler yeni Danabot yapıları oluşturmak için çeşitli seçenekler arasından seçim yapabilir ve bu yapıları kendi kampanyaları aracılığıyla dağıtmak onların sorumluluğundadır. 

Arka plan 

Delphi programlama dilinde kodlanmış bir grup bilgi hırsızı ve/veya bankacılık kötü amaçlı yazılım ailesine ait olan Danabot, 2018 yılında Avustralyalı kullanıcıları hedef alan bir spam kampanyasında kullanılarak öne çıkmıştır. O zamandan beri Danabot çeşitli kampanyalarla diğer pazarlara yayıldı, iç ve arka uç altyapısında birkaç büyük güncelleme geçirdi ve siber suçlular arasında popülaritesinde hem zirveler hem de düşüşler yaşadı. 

ESET, 2018’den bu yana yaptığımız izleme çalışmaları boyunca, önemli sayıda farklı örneği izleyip analiz etti ve 1.000’den fazla benzersiz C&C sunucusu tespit etti. Bu süre zarfında ESET, tüm dünyada çeşitli Danabot kampanyalarını analiz etti ve Polonya, Şekil 1‘de görüldüğü gibi tarihsel olarak en çok hedeflenen ülkelerden biri oldu. 

Tipik siber suçlara ek olarak Danabot, DDoS saldırıları başlatmak için ele geçirilmiş makineleri kullanmak gibi daha az geleneksel faaliyetlerde de kullanılmıştır. Örneğin, Rusya’nın Ukrayna’yı işgalinden kısa bir süre sonra Zscaler tarafından Ukrayna Savunma Bakanlığı’na yönelik bir DDoS saldırısı tespit edilmiştir. Bu saldırıda kullanılana çok benzer bir DDoS modülü, bir Danabot operatörü tarafından Arduino geliştirmeye adanmış bir Rus sitesini hedef almak için de kullanıldı. Bu eylemler muhtemelen bağlı kuruluşun kendi hırsları ve siyasi motivasyonları tarafından motive edilmiştir. 

Danabot grup tanıtımı 

Danabot’un yazarları tek bir grup olarak faaliyet göstermekte, araçlarını potansiyel iştirakçilere kiralık olarak sunmakta ve onlar da daha sonra kendi botnet’lerini kurup yöneterek kendi kötü niyetli amaçları için kullanmaktadır. Yazarlar, Şekil 2 adresinde gösterildiği gibi, Tor ağında araçlarının yetenekleri hakkında ayrıntılı bilgi içeren bir destek sayfası bile kurmuşlardır. 

Danabot yeni müşteriler kazanmak için sıklıkla yeraltı forumlarında Danabot kötü amaçlı yazılımının ve araç setinin ana geliştiricilerinden ve yöneticilerinden biri olarak hareket eden JimmBee adlı kullanıcı tarafından tanıtılıyor. Danabot grubundan kayda değer bir diğer kişi de yeraltı forumlarında Onix olarak bilinen ve Danabot altyapısını yöneten ve aynı zamanda satış operasyonlarından sorumlu olan bir kullanıcıdır. 

Özelliklere genel bakış 

Danabot’un yazarları, müşterilere kötü niyetli hedeflerinde yardımcı olmak için çok çeşitli özellikler geliştirmiştir. Danabot tarafından sunulan en önemli özellikler şunlardır: 

• Tarayıcılardan, posta istemcilerinden, FTP istemcilerinden ve diğer popüler yazılımlardan çeşitli verileri çalma yeteneği, 

• keylogging ve ekran kaydı, 

• Kurbanların sistemlerinin gerçek zamanlı uzaktan kontrolü, 

• Genellikle kripto para cüzdanlarını çalmak için kullanılan bir FileGrabber komutu, 

• Zeus benzeri web enjeksiyonları ve form yakalama desteği ve 

• Keyfi yük yükleme ve yürütme. 

Danabot’un çalma yeteneklerinden faydalanmanın yanı sıra yıllar içinde Danabot aracılığıyla çeşitli faydalı yüklerin dağıtıldığını gözlemledik: 

• SystemBC, 

• Rescoms, 

• Ursnif, 

• Smokeloader, 

• Zloader, 

• Lumma Stealer, 

• Rekor kıran, 

• Latrodectus, ve 

• NetSupportManager uzaktan yönetim aracı. 

Ayrıca Danabot’un zaten tehlikede olan sistemlere fidye yazılımı indirmek için kullanıldığı örneklerle karşılaştık. LockBit, Buran, Crisis ve çeşitli durumlarda itilen bir Fidye Yazılımı Olmayan varyantı sayabiliriz. 

Danabot’un rastgele yükleri indirme ve çalıştırma yeteneği, ek kötü amaçlı yazılımları dağıtmak için kullanılan tek özellik değildir. Microsoft Threat Intelligence tarafından 2023’ün sonlarında bildirildiği üzere, Danabot’un botnet’in kontrolünü bir fidye yazılımı operatörüne devretmek için bir araç olarak kullanıldığı da tespit edildi. 

Dağıtım yöntemleri 

İzlemelerimize göre Danabot, varlığı boyunca birçok siber suçlunun tercih ettiği bir araç olmuş ve her biri farklı dağıtım yöntemleri kullanmıştır. Danabot’un geliştiricileri birkaç kötü amaçlı yazılım kriptosu ve yükleyicisinin yazarlarıyla bile ortaklık kurdu ve müşterilerine bir dağıtım paketi için özel fiyatlandırma sunarak süreçte onlara yardımcı oldu. Matanbuchus bu tür desteklenen yükleyicilere bir örnektir. 

Yıllar boyunca Danabot iştirakleri tarafından her türlü dağıtım yönteminin kullanıldığını gördük: 

• E-posta spam kampanyalarının sayısız çeşidi, 

• Smokeloader, DarkGate ve Matanbuchus gibi diğer kötü amaçlı yazılımlar ve 

• Google Reklamlarının kötüye kullanımı. 

Son zamanlarda, gördüğümüz tüm dağıtım mekanizmalarında, Google arama sonuçlarındaki sponsorlu bağlantılar arasında görünüşte alakalı ancak aslında kötü niyetli web sitelerini görüntülemek için Google Reklamlarının kötüye kullanılması, kurbanları Danabot’u indirmeye ikna etmek için en belirgin yöntemlerden biri olarak öne çıkıyor. En popüler taktik, kötü amaçlı yazılımı yasal yazılımla paketlemek ve bu paketi sahte yazılım siteleri (Şekil 3) veya kullanıcılara sahipsiz fonları bulmalarına yardımcı olmayı vaat eden web siteleri (Şekil 4) aracılığıyla sunmaktır. 

Bu sosyal mühendislik tekniklerine en son eklenen: Uydurma bilgisayar sorunları için çözümler sunan, tek amacı kurbanı kullanıcının panosuna gizlice yerleştirilen kötü niyetli bir komutun yürütülmesine ikna etmek olan aldatıcı web siteleri. Danabot’un indirilmesine yol açan böyle bir web sitesi örneği Şekil 5’te gösterilmiştir.  

Altyapı 

Genel Bakış 

Başlangıçta, Danabot’un yazarları tüm botların bağlantılarını ve komut yapılandırmaları ve kurbanlarından toplanan veriler gibi tüm bağlı kuruluşların verilerini yönetmek için tek bir merkezi sunucuya güveniyordu. Bu merkezi yaklaşım kesinlikle sunucunun performansı üzerinde olumsuz bir etkiye sahipti ve olası kesintilere daha yatkındı. Yeni sürümlerde iş ve altyapı modellerinde bir değişim görmemizin nedenlerinden biri de muhtemelen budur. Danabot’un yazarları artık kendi altyapılarında yer kiralamanın yanı sıra, destek sitelerinde ilan ettikleri gibi, iştirakçi tarafından işletilecek özel bir sunucu kurulumu da sunuyorlar (Şekil 6). 

Temmuz 2023’te bir yeraltı forumu aracılığıyla sunulan kiralama seçenekleri Şekil 7‘de gösterilmektedir. 

İzlemelerimize dayanarak Danabot’un yazarları tarafından kontrol edilen ortak altyapı üzerinde bir hesap kiralamanın tehdit aktörleri için en popüler seçenek gibi göründüğünü belirtmek gerekir. 

Satış ortakları seçeneklerden birini kiraladıklarında kendilerine C&C sunucusuna bağlanmaları ve bir yönetim paneli aracılığıyla kendi botnetlerini yönetmeleri için araçlar ve kimlik bilgileri verilir. Aşağıdaki bölümlerde tipik araç setinin farklı kısımlarını ele alacağız. 

C&C sunucu uygulaması 

Bağımsız sunucu uygulaması bir DLL dosyası biçiminde gelir ve botnet’in beyni olarak işlev görür. Bir Windows sunucusuna kurulur ve veri yönetimi için bir MySQL veri tabanı kullanır. Botlar çalınan verileri iletmek ve iştirakler tarafından verilen komutları almak için bu sunucuya bağlanır. İştirakler botnetlerini yönetmek için yönetim paneli uygulaması aracılığıyla bu sunucuya bağlanırlar. Bu C&C sunucu uygulaması, yalnızca daha yüksek seviyeli kişisel sunucu seçeneği için ödeme yapan iştirakler tarafından yerel kurulum için kullanılabilir. Bunun yerine botnetlerini Danabot’un altyapısında çalıştırmayı tercih eden iştiraklere, orada zaten kurulu olan C&C sunucusuna bağlantı bilgileri verilir ve kendi C&C sunucularını barındırmaları gerekmez. 

Yönetim paneli 

Şekil 8‘de gösterilen yönetim paneli bir GUI uygulaması şeklindedir ve botnet operatörünün bakış açısından en önemli aracı temsil eder. Bağlı kuruluşun C&C sunucusuna bağlanmasına ve aşağıdaki gibi görevleri gerçekleştirmesine olanak tanır: 

• Botları yönetin ve botnet istatistiklerini alın, 

• Botlar için çeşitli komutlar ve gelişmiş yapılandırma yayımlayın, 

• Mağdurlardan toplanan verileri rahatça görüntüleyin ve dışa aktarın, 

• Bildirim sistemini yönetin ve botlar tarafından tetiklenen olaylarla ilgili uyarılar ayarlayın, 

• Yeni Danabot yapıları oluşturun ve 

• Botlar ve C&C sunucusu arasındaki iletişim için bir proxy sunucu zinciri kurun. 

İlerleyen bölümlerde yönetim panelinin en ilginç özelliklerine ilişkin daha fazla ayrıntı ve örnek sunacağız. 

Backconnect aracı 

Yönetim için bir diğer önemli araç, botnet operatörlerinin çevrimiçi botlarına uzaktan bağlanmalarını ve kontrol etmelerini sağlayan bağımsız yardımcı programdır. Araçta görüldüğü gibi uzaktan kontrol için mevcut eylemler Şekil 9‘da gösterilmektedir. Muhtemelen siber suçlular için en ilginç özellikler, uzak masaüstü bağlantısı aracılığıyla kurbanın bilgisayarını görme ve kontrol etme ve yerleşik dosya yöneticisini kullanarak dosya sisteminde keşif yapma yeteneğidir. 

Proxy sunucu uygulaması 

Botlar genellikle ana C&C sunucusuna doğrudan bağlanmaz, bunun yerine trafiği aktarmak ve gerçek arka uç C&C’nin konumunu gizlemek için bir proxy zinciri kullanır. Bu stratejiyi kolaylaştırmak için Danabot’un yazarları hem Windows hem de Linux sistemleri için kullanılabilen bir proxy sunucu uygulaması sağlamaktadır. Şekil 10 bu basit proxy sunucu uygulamasının Linux versiyonundan alınan kullanım mesajını göstermektedir. Proxy’leri kullanmanın yanı sıra botlar, tüm proxy zincirlerinin kullanılamaz hâle gelmesi durumunda Tor ağı üzerinden sunucuyla iletişim kuracak şekilde yapılandırılabilir. Bu tür bir iletişim için isteğe bağlı indirilebilir bir Tor modülü kullanılır. 

İştirakçiler ayrıca anonimliklerini daha da artırmak için bu proxy sunucu uygulamasını yönetim panelleri ile C&C sunucusu arasında bir aracı olarak sıklıkla kullanırlar. Her şey bir araya getirildiğinde tipik altyapı Şekil 11‘de gösterildiği gibi görünebilir. 

İçindekiler 

İletişim 

Danabot, AES-256 kullanılarak şifrelenmiş verileriyle kendi tescilli C&C iletişim protokolünü kullanır. Her mesaj için benzersiz olarak üretilen AES oturum anahtarları daha sonra RSA anahtar çiftleri kullanılarak şifrelenir ve tüm iletişim güvence altına alınır. Zaman içinde iletişim protokolünde ve paket yapısında birkaç güncelleme yapıldığını belirtmek gerekir. 

Tipik bir komutun şifrelenmeden önceki mevcut paket veri yapısı Tablo 1‘de gösterildiği gibidir. Alanların çoğunun yalnızca iletişim döngüsündeki ilk istek sırasında botun kimliğini doğrulamak için kullanıldığını ve sonraki komutlarda ayarlanmadan bırakıldığını belirtmek isteriz. 

Tablo 1. Danabot iletişiminde kullanılan paket yapısı 

Danabot’un en yeni sürümleri ayrıca iletişimini daha da gizlemek için şifrelenmeden önce paket yapısının sonuna rastgele miktarda görünüşte önemsiz baytlar ekler. Danabot yazarlarının her zaman en iyi kodlama uygulamalarını takip etmediklerini ve bu rastgele bayt sayısının eklenmesinin, yeni edinilen bu alanı temizlemek veya başlatmak yerine paket yapısını tutmak için tahsis edilen orijinal bellek tamponunun yeniden boyutlandırılmasıyla yapıldığını belirtmek gerekir. Bu da bottan sunucuya gönderilen veri paketine istemeden de olsa sürecin çevresindeki bellek bölgelerinin dahil edilmesine ve daha da önemlisi bunun tam tersinin yapılmasına yol açmıştır. Sunucu-bot iletişiminden yakalanan ve şifresi çözülen bu eklenmiş bellek bölgeleri bazen sunucunun işlem belleğinden ilginç bilgiler içeriyor ve araştırmacılara Danabot’un altyapısı ve kullanıcıları hakkında değerli bilgiler veriyordu. Bu hata 2022 yılında ortaya çıkmış ve Şubat 2025’te Danabot’un son sürümlerinde düzeltilmiştir. 

İletişim ve şifreleme hakkında daha fazla ayrıntı zaten çeşitli araştırmacılar tarafından ele alındı ve bu blog yazısında daha fazla detaylandırmayacağız. 

Yapılar 

Botnet operatörleri, kurbanlarına dağıtmak üzere yeni Danabot yapıları oluşturmak için birden fazla seçeneğe sahiptir. Bildiğimiz kadarıyla operatör yönetim paneli uygulaması aracılığıyla derleme sürecini ve istenen çıktıyı yapılandırabilirken derleme işleminin kendisi Danabot yazarlarının sunucularında gerçekleştirilmektedir. Seçilen yapıyı oluşturduktan sonra, operatör yapıların indirme bağlantılarını alır ve bir kampanyada dağıtımlarından sorumlu olur. 

Şekil 12 bir derleme yapılandırma penceresi örneğini ve nihai ikili dosyada yapılandırılacak C&C sunucu listesi, çeşitli gizleme yöntemleri, derleme bitliği vb. gibi mevcut seçenekleri göstermektedir. 

Danabot şu anda Tablo 2 adresinde açıklanan dört temel yük tipi sunmaktadır. 

Tablo 2. Mevcut yapıların varyantları 

Yapılandırma komutları 

Bir botnet operatörü, yönetim paneli aracılığıyla botlara gelişmiş bir yapılandırma verebilir. Botlara daha sonra alınan talimatlara göre çeşitli komutları yerine getirmeleri emredilir. Şekil 13 böyle bir komut yapılandırmasının bir örneğini göstermektedir. 

Tablo 3 verilebilecek mevcut komutları listeler. Her görevin operatörün ihtiyaçlarına daha fazla uyum sağlamak için kendine özgü seçenekleri vardır. 

Tablo 3. Mevcut komutlar 

Ek faydalı yükler 

Danabot ayrıca başka çalıştırılabilir dosyaları indirme ve çalıştırma olanağı da sağlar. Bu özellik, botnet operatörünün, daha önce de belirtildiği gibi ele geçirilen sisteme ek kötü amaçlı yazılımların yüklenmesini yapılandırmasına olanak tanır. Şekil 14, yönetim paneli uygulamasında bu özellik için mevcut seçenekleri göstermektedir.  

Sonuç 

Danabot, kötü amaçlı yazılım iştiraklerinin kullanımı için çok çeşitli araçlar dağıtan büyük ölçekli bir MaaS operasyonudur. Bu bilgi hırsızı hakkında 2018 yılında başlayan araştırmamız, Danabot’un araç setinin bu blog yazısında sunulan analiziyle sonuçlandı. Yetkililerin ve ESET’in de dahil olduğu çeşitli siber güvenlik şirketlerinin çabaları, kötü amaçlı yazılımın altyapısının bozulmasına yol açtı. Danabot’un ortadan kaldırılmasının ardından toparlanıp toparlanamayacağı henüz belli değil. Bununla birlikte, kolluk kuvvetleri kötü amaçlı yazılımın operasyonlarında yer alan birkaç kişinin maskesini düşürmeyi başardığı için darbe kesinlikle hissedilecektir. 

IoC’ler 

Files 

Network 

MITRE ATT&CK teknikleri 

Bu tablo MITRE ATT&CK çerçevesinin 17. sürümü kullanılarak oluşturulmuştur.