FishMonger cephaneliğini yeniledi: Windows için SprySOCKS

ESET araştırmacıları, FishMonger’ın gelişmiş gizlilik için bir çekirdek sürücüsünü silah hâline getiren arka kapısı olan SprySOCKS for Windows’u keşfettiler

ESET araştırmacıları, daha önce yalnızca Linux için geliştirilmiş ve I-SOON adlı Çinli bir yüklenici tarafından yönetildiği düşünülen FishMonger grubu tarafından kullanıldığı bildirilen SprySOCKS’un, henüz belgelenmemiş iki Windows varyantını keşfetti. Bu kötü amaçlı yazılım örneklerini ilk olarak VirusTotal’da keşfetmiş olsak da ESET telemetri verileri 2023 ile 2024 yılları arasında Honduras, Tayvan, Tayland ve Pakistan’da çoğunlukla devlet kurumlarını hedef alan ve birkaç kurbanın olduğu gerçek faaliyetleri göstermektedir.

Keşfedilen Windows varyantları, dâhili olarak WIN_DRV ve WIN_PLUS olarak işaretlenmiştir. Her ikisi de sabit kodlanmış bir C&C yapılandırmasına sahiptir ve TCP, UDP ve WebSocket protokolleri üzerinden iletişimi desteklemektedir. Her ikisinin de temel arka kapı işlevselliği, sistem bilgisi toplama, işlem numaralandırma gibi çeşitli işlevlerin yanı sıra hizmet yönetimi ve dosya listeleme, oluşturma, silme ve aktarma gibi dosya yönetimi işlevlerini kapsayan 30’dan fazla C&C komutunu desteklemektedir.

Temel arka kapı işlevselliğine ek olarak, WIN_DRV sürümü, kötü amaçlı yazılımın ağ bağlantılarını, işlemlerini, dosyalarını ve kayıt defteri anahtarlarını gizlemek için çekirdek sürücülerini kullanır ve TCP trafiğinin yönlendirilmesini sağlar; bu sayede kötü amaçlı yazılım operatörleri, ağ trafiğinde arka kapının gerçek dinleme bağlantı noktasını açığa çıkarmadan, kurbanın cihazındaki rastgele bir TCP bağlantı noktası üzerinden arka kapıya komutlar gönderebilir.

ESET telemetri verilerine göre, bazı SprySOCKS saldırı senaryolarının, muhtemelen CVE-2023-24932 güvenlik açığını istismar eden bir UEFI bootkit bileşeni içerebileceğine dair sınırlı sayıda gösterge bulunmaktadır.

Bu raporda sunulan analizler, bu yeni Windows varyantlarını yüksek bir güven derecesiyle FishMonger’a atfetmemize yol açmaktadır.

Raporun ana noktaları:

• FishMonger’ın SprySOCKS arka kapısının daha önce belgelenmemiş iki Windows varyantını keşfettik.
• ESET telemetri verileri, 2023 ile 2024 yılları arasında, esas olarak Honduras, Tayvan, Tayland ve Pakistan’daki devlet kurumlarını hedef alan faaliyetler olduğunu göstermektedir.
• Her iki Windows varyantı da TCP, UDP ve WebSocket protokolleri üzerinden iletişimi desteklemekte ve 30’dan fazla komut uygulamaktadır.
• WIN_DRV varyantı, alınan bir TCP paketinin içinde özel olarak hazırlanmış veriler tespit edildiğinde trafiği arka kapının gizli TCP bağlantı noktasına yönlendirmek için bir çekirdek sürücüsüne dayanan, gizli ve pasif bir TCP arka kapısı oluşturur.

FishMonger profili

FishMonger – I-SOON adlı bir Çinli yüklenici tarafından yönetildiği düşünülen (bkz. 2023 4. Çeyrek – 2024 1. Çeyrek APT Faaliyet Raporu) – Winnti Grubu çatısı altında yer alan ve büyük olasılıkla Çin’in Chengdu kentinden faaliyet gösteren bir siber casusluk grubudur. Earth Lusca, TAG-22, Aquatic Panda veya Red Dev 10 adlarıyla da bilinir. 2019 Haziran ayında başlayan sivil protestolar sırasında Hong Kong’daki üniversiteleri yoğun bir şekilde hedef aldığı 2020 yılının başlarında FishMonger hakkında bir analiz yayımlamıştık. Trend Micro’nun bildirdiği üzere, grubun “watering-hole” saldırıları düzenlediği de bilinmektedir. FishMonger’ın araç seti arasında ShadowPad, Spyder, Cobalt Strike, FunnySwitch, SprySOCKS ve BIOPASS RAT yer almaktadır.

Teknik analiz

Bu bölümde, FishMonger’ın SprySOCKS arka kapısının bu yeni Windows varyantlarına ilişkin teknik bir analiz sunuyoruz. 

Bu keşfe yol açan arşiv, Nisan 2024’te klelam00007.zip adıyla VirusTotal’a yüklenmiştir; içeriği Şekil 1 adresinde gösterilmektedir.

Şekil 1 . VirusTotal’da görüntülenen klelam00007.zip dosyasının içeriği

Bu arşiv, DLL yan yüklemesini barındırmak için kullanılan meşru dosyalar ve .dat uzantılı, şüpheli görünen üç şifreli dosya dâhil olmak üzere çeşitli dosyalar içermektedir. Daha sonra yaptığımız analiz, bu şifreli dosyaların, geliştiricileri tarafından WIN_DRV olarak adlandırılan, FishMonger’ın SprySOCKS arka kapısının daha önce belgelenmemiş yeni bir Windows varyantını içerdiğini ortaya çıkardı. Daha ayrıntılı araştırma, ESET Telemetri’de WIN_PLUS olarak adlandırılan ek bir arka kapı sürümünü ortaya çıkardı.

İlk erişim

FishMonger, ilk erişimi elde etmek için genellikle sunucu tabanlı N-day güvenlik açıklarını istismar ederek kurbanlarının halka açık sunucularını hedeflemesiyle bilinmektedir. Bu kampanyada FishMonger’ın kurbanlarının sistemlerine tam olarak nasıl girdiğini doğrulayamasak da bazı kurban cihazlarında sunucu işletim sisteminin bulunması ve FishMonger’ın tipik çalışma şekli, saldırganların yanlış yapılandırılmış veya yamalanmamış halka açık uygulamalar aracılığıyla sisteme girmiş olabileceğini düşündürüyor.

Windows için SprySOCKS

Eylül 2023’te Trend Micro, analistlerinin SprySOCKS adını verdiği yeni bir FishMonger Linux arka kapısı hakkında bir rapor yayımladı. Arka kapının kodu, Trochilus adlı açık kaynaklı bir Windows uzaktan erişim truva atına (RAT) dayanmaktadır ve RedLeaves arka kapısıyla birçok ortak özelliğe sahiptir; ancak yeni bir arka kapı olarak kabul edilebilecek kadar genişletilmiş ve değiştirilmiştir. Bu raporda, SprySOCKS v1.8 sürümünün henüz açıklanmamış iki Windows varyantını analiz ediyoruz:

• Bunlardan biri, geliştiricileri tarafından WIN_DRV olarak adlandırılmış ve gelişmiş gizlilik için bir çekirdek sürücüsü kullanıyor.
• Diğeri ise sürücü içermeyen ve WIN_PLUS olarak adlandırılan varyanttır.

Şekil 2 ’de gösterildiği gibi, arka kapı sürüm türü ve numarası ikili dosyada sabit olarak kodlanmıştır.

Şekil 2 . WIN_DRV (solda) ve WIN_PLUS (sağda) Windows SprySOCKS arka kapı varyantlarında sabit kodlanmış sürüm türü ve numarası

Trend Micro’nun raporunda tanıtılan SprySOCKS arka kapısının Linux sürümünde bulunan artefaktların ve işlevlerin büyük çoğunluğu, bu raporda açıklanan yeni keşfedilen Windows SprySOCKS varyantlarında da bulunabilir. Bunlar arasında şunlar yer alır:

• aynı C&C mesaj biçimi,
• çok benzer C&C komutları (bazı ek komutlar da dâhil),
• aynı şifreleme anahtarları ve algoritmaları, ve
• aynı statik olarak bağlanmış ağ kütüphanesinin (HP-Socket) kullanımı.

Bu iki yeni SprySOCKS varyantında da C&C iletişimi ve kullanılabilir komutları içeren temel arka kapı işlevselliği birbirine çok benzemektedir. En dikkat çekici farklılıklar, nihai arka kapının yüklenme şekli, geliştirilmiş gizlilik özelliği ve kullanılan bileşen adları ile yollarda göze çarpmaktadır.

Aşağıdaki alt bölümlerde, önce her bir SprySOCKS varyantının yürütme zincirinde yer alan bileşenleri analiz edeceğiz, ardından her iki varyant için de büyük ölçüde aynı olan arka kapı bileşenini açıklayacağız.

WIN_DRV bileşenleri

VirusTotal’a yüklenen bir arşivde, boş bir C&C yapılandırmasıyla gelen SprySOCKS’un WIN_DRV sürümünü keşfettik. Sonuç olarak, bu sürüm herhangi bir uzak adresle aktif olarak iletişim kurmaz; ancak yine de kurbanın cihazında rastgele bir bağlantı noktasında bir TCP sunucusu başlatabilir ve böylece pasif bir arka kapı görevi görür. İlginç bir şekilde, saldırganların bu sunucunun TCP bağlantı noktası numarasını bilmelerine gerek yoktur; çünkü daha sonra açıklanacağı üzere, WIN_DRV sürümü tarafından kullanılan RawWNPF sürücüsü, herhangi bir açık bağlantı noktasında alınan TCP trafiğinin arka kapıya sessizce yönlendirilmesine olanak tanır (daha fazla bilgi için bkz. RawWNPF sürücüsü bölümü).

Şekil 1 ’de gösterildiği gibi, SprySOCKS’un WIN_DRV sürümünü içeren arşivde birkaç dosya bulunmaktadır:

• klelam00007.bat – arka kapıyı kalıcı hâle getirmekten sorumlu bir toplu iş betiği. Şekil 3 ‘te gösterildiği gibi, bu betik:
• geçerli çalışma dizinindeki tüm dosyaları %SystemRoot%\Fonts dizinine kopyalar (düzgün çalışabilmesi için, toplu iş dosyasının arşivdeki diğer dosyalarla aynı dizine yerleştirilmesi gerekir),
• ApphostRagistreationVerifier adında, her sistem başlangıcında NT AUTHORITY\SYSTEM ayrıcalıklarıyla ApphostRagistreationVerifier.exe dosyasını (bu, saldırganlar tarafından Microsoft tarafından imzalanmış meşru AppHostRegistrationVerifier.exe dosyasını taklit etmek üzere yeniden adlandırılmış, meşru ve geçerli bir şekilde imzalanmış bir yürütülebilir dosyadır) çalıştıracak şekilde yapılandırılmış bir zamanlanmış görev oluşturur. Saldırganlar, Windows’un DLL’leri yükleme şeklinden yararlanarak, iyi bilinen DLL yan yükleme tekniğini kullanır ve meşru, imzalanmış bir uygulama aracılığıyla kendi kötü amaçlı DLL’lerini (bu durumda tpsvcloc.dll) yükler. Daha açık olmak gerekirse bu durumda saldırganlar MFC Uydu DLL’leri aracılığıyla Kötü Amaçlı Yazılım Yan Yükleme tekniğini kullanır (tpsvcloc.dll dosya adındaki loc dizesine dikkat edin),
• ApphostRagistreationVerifier.exe – tpsvc.dll kütüphanesini yükleyen, ThinPrint’in AutoConnect yazıcı oluşturma hizmetine ait, imzalı ve meşru bir yürütülebilir dosya (SHA-1: FFC3AA7909D4E72C360D65A1F45260DFFE5C99B7),
• tpsvc.dll – tpsvcloc.dll kütüphanesini yükleyen, meşru ve imzalanmış bir kütüphane,
• tpsvcloc.dll – SprySOCKS arka kapı yükleyicisi,
• X1B5206BDC1743DD.dat – SprySOCKS arka kapısı ve sonraki iki dosyanın kopyalarını içeren şifreli bir konteyner,
• KX1B5206BDC1743DD.dat – DriverLoader; KW1B5206BDC1743FP.dat dosyasından başka bir çekirdek sürücüsünü yüklemekle sorumlu şifrelenmiş bir çekirdek sürücüsü ve
• KW1B5206BDC1743FP.dat – RawWNPF, arka kapının dosyalarını ve ağ faaliyetlerini gizlemekle görevli şifrelenmiş bir çekirdek sürücüsü.

Şekil 3 . klelam00007.bat dosyası, SprySOCKS arka kapısı için kalıcılık ayarlarını yapmaktadır (okunabilirlik amacıyla satır sonları eklenmiştir)

Aşağıdaki örnekte (Şekil 4), SprySOCKS WIN_DRV varyantının yürütme zincirini göstermektedir.

Şekil 4 . SprySOCKS WIN_DRV varyantının yürütme zinciri

Aşağıdaki üç alt bölümde, yukarıda bahsedilen bileşenler olan SprySOCKS yükleyicisi, DriverLoader sürücüsü ve RawWNPF sürücüsü hakkında teknik analizler sunulmaktadır.

SprySOCKS yükleyicisi

Yükleyici, sanal ortamın ve birkaç güvenlik ürününün varlığını kontrol ederek çalışmaya başlar. Yükleyicinin işleminde belirli kütüphaneleri (yani: snxhk.dll, SxWrapper.dll, SxIn.dll, SXIn64.dll ve SbieDll.dll) arar ve bunlardan herhangi birini bulursa sonlandırılır.

Bir sonraki adımda, adresindeki klelam00007.bat komut dosyası tarafından kalıcılığın başarıyla ayarlanıp ayarlanmadığını doğrular (3 ). Bunu yapmak için mevcut yükleyicinin görüntüsünün %SystemRoot%\Fonts\ dizininden yüklenip yüklenmediğini kontrol eder ve %SystemRoot%\Fonts\X1B5206BDC1743DD.dat, %SystemRoot%\Fonts\‌ tpsvc.dll ve %SystemRoot%\Fonts\tpsvcloc.dll dosyalarına erişmeye çalışır. Bu dosyalardan herhangi birinin olması gereken yerde olmadığını tespit ederse aşağıdaki adımları izleyerek kendi kendine kalıcılık sağlar:

• X1B5206BDC1743DD.dat, tpsvc.dll, tpsvcloc.dll ve ApphostRagistreationVerifier.exe dosyalarını geçerli çalışma dizininden %SystemRoot%\Fonts\ dizinine kopyalamak,
• %SystemRoot%\Fonts\ApphostRagistreationVerifier.exe uygulamasını, uygulamanın yolunu HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vds.exe\debugger kayıt defteri değerine yazarak vds.exe (sistem başlangıcında otomatik olarak çalıştırılabilen bir Sanal Disk Hizmeti) için hata ayıklayıcı olarak kaydetmek ve
• affair-build.bat dosyasını %SystemRoot%\Fonts\ dizinine bırakıp ardından cmd.exe aracılığıyla çalıştırır. Şekil 5adresinde gösterilen bu komut dosyası, dağıtım dizinindeki dosyaları silerek ve vds hizmetini yeniden başlatarak (artık %SystemRoot%\Fonts\ dizininden) kötü amaçlı yazılımı tekrar çalıştırarak bu işlemin izlerini siler.

Şekil 5 . SprySOCKS yükleyicisi tarafından çalıştırılan affair-build.bat

Kalıcılık ayarlandığında, yükleyici %SystemRoot%\Fonts\X1B5206BDC1743DD.dat konumunda bulunan şifreli bir konteynerden yükleri yüklemeye devam eder. Şifre çözme algoritması ve anahtarı: ECB modunda 128 bit AES ve sabit kodlanmış uXQLESMXGaRMs6BL anahtarı.

Bu işlem, DllToShellCode açık kaynaklı aracı tarafından oluşturulan bir kabuk kodu (shellcode) üretir. Kabuk kodunu çalıştırmadan önce, yükleyicisi konteynerdeki şifrelenmiş yüklerin geri kalanını ayrı dosyalara çıkarır:

• %SystemRoot%\Fonts\KX1B5206BDC1743DD.dat
• %SystemRoot%\Fonts\KW1B5206BDC1743FP.dat

İşlem tamamlandığında, yükleyici, spoolsv.exe’den elde edilen bir jetonla CreateProcessAsUserW işlevini kullanarak yeni bir svchost.exe süreci başlatır ve süreç ikizleme tekniğini kullanarak arka kapının kabuk kodunu bu sürece enjekte eder. Enjeksiyon işlemi sırasında kabuk kodu, dosya adında TH önekini kullanarak %TEMP% dizinine geçici bir dosyaya yerleştirilir.

Son adım olarak, yükleyici, daha önce bırakılan KX1B5206BDC1743DD.dat dosyasının içinde gizlenmiş bir çekirdek sürücüsü olan DriverLoader’ı şifresini çözüp çalıştırır. DriverLoader önce şifresi çözülür, ardından şifresi çözülmüş içerik C:\Windows\System32\drivers\fsdiskbit.sys dosyasına kaydedilir. Bunu çalıştırmak için yükleyici, bırakılan sürücüye işaret eden bir ImagePath değerine sahip msidiskserver adlı yeni bir hizmet kayıt defteri anahtarı manuel olarak oluşturarak ( Şekil 6 ‘da gösterildiği gibi) bu sürücüyü bir minifilter sürücüsü olarak yükler ve yüklemek için bu kayıt defteri anahtarını parametre olarak kullanarak NtLoadDriver Windows API işlevini çağırır. Herhangi bir hata tespit edilmezse yükleyici hem msidiskserver kayıt defteri anahtarını hem de fsdiskbit.sys dosyasını siler. Bundan sonra yükleyici işini tamamlar ve sonlanır.

Şekil 6 . SprySOCKS WIN_DRV yükleyicisi tarafından oluşturulan hizmet kayıt defteri anahtarı

DriverLoader sürücüsü

DriverLoader’ın işlevselliğine geçmeden önce önemli bir not: Windows Vista’nın piyasaya sürülmesiyle birlikte Microsoft, Windows çekirdeğinde yalnızca geçerli şekilde imzalanmış çekirdek modu bileşenlerinin yürütülmesine izin veren bir özellik olan sürücü imzası zorunluluğu (DSE) uygulamasını getirmiştir. Bu, fsdiskbit.sys sürücüsünü (DriverLoader) yürütmek için saldırganların onu güvenilir bir sertifika ile imzalaması gerektiği anlamına gelir.

Sürücünün en azından bazı eski veya yanlış yapılandırılmış sistemlerde çalışmasını sağlamak için saldırganlar, GitHub’daki PastDSE proje deposunda bulunan sızdırılmış bir sertifikayı kullanarak fsdiskbit.sys sürücüsünü bu sertifika ile imzaladılar. Kullanılan sertifika hakkındaki bilgilere Şekil 7 adresinden ulaşılabilir. 

Şekil 7 . DriverLoader’ın kod imzalama sertifikası

Şimdi işlevselliğe geçelim. Bu bileşenin amacı oldukça basittir: Başka bir sürücüyü, bu sefer yalnızca belleğe yüklemek. İlk olarak, yükleyici tarafından önceden oluşturulan C:\Windows\Fonts\KW1B5206BDC1743FP.dat dosyasının içeriğini okur ve şifresini çözer. Yükleyiciyle aynı algoritma ve anahtarı kullanır: uXQLESMXGaRMs6BL anahtarıyla ECB modunda 128 bit AES. Şifresi çözülen veriler, yerel bir PE ikili dosyasını içerir ( RawWNPF sürücüsü bölümünde açıklanmıştır); bu dosya daha sonra manuel olarak eşleştirilir ve giriş noktası yürütülür.

DriverLoader ikili dosyasında gömülü olan PDB yolu şöyledir:

C:\Users\xdd\Desktop\今天\2023-4-11\2023-04-10__注册表驱动加载功能__集成到内测3中-未完成\DriverMemoryLoadDriver\x64\Release\DriverMemoryLoadDriver.pdb

Basitleştirilmiş Çince metnin makine çevirisi şu şekildedir:

• 今天: Bugün
• 注册表驱动加载功能__集成到内测3中-未完成: Kayıt defteri sürücü yükleme işlevi__iç beta 3 sürümüne entegre edildi – tamamlanmadı

Sembol yolundan da görülebileceği gibi bu bileşen en azından Nisan 2023’ten beri geliştirilmekte gibi görünüyor; bu da DriverLoader’ın derleme zaman damgasıyla örtüşüyor. Benzer şekilde, yoldaki dizelere bakıldığında, bu sürücünün parçası olduğu projenin, sürücü derlendiğinde muhtemelen hâlâ geliştirme aşamasında olduğu anlaşılıyor.

RawWNPF sürücüsü

RawWNPF sürücüsü, SprySOCKS arka kapısının WIN_DRV sürümünü, WIN_PLUS varyantına kıyasla çok daha gizli hâle getiren bileşendir. Bu sürücü, ele geçirilmiş sistemde arka kapının kötü amaçlı faaliyetlerinin gizlenmesini sağlar ve sürücünün özel I/O kontrol kodları (IOCTL’ler) çağrılarak yapılandırılabilir. Sürücü, \Device\RawWNPF adlı bir aygıt sürücüsü oluşturur; kısa açıklamalarıyla birlikte kullanılabilir IOCTL’lerin listesi adresindeki Tablo 1 ’de gösterilmiştir.

Tablo 1 . RawWNPF sürücüsü tarafından işlenen IOCTL’lerin listesi

Belirtilen işlemleri gizleme

RawWNPF sürücüsü, işlem kimliklerine göre işlemleri gizleyecek şekilde yapılandırılabilir ve gizli işlemlerin listesi, sürücünün0x220358, 0x22035C, 0x220354 ve 0x220350 IOCTL’leri çağrılarak yönetilebilir. Bir işlemi gizlemek için sürücü NtQuerySystemInformation sistem çağrısının yürütülmesine kanca takar ve çalışan işlemlerle ilgili bilgiler alınıyorsa (yani SystemProcessInformation değeri SystemInformationClass parametresine aktarılıyorsa) çıktısını değiştirir. Bu API işlevi tarafından alınan işlemlerden herhangi biri, sürücünün gizli işlemler listesindeki bir işlemle eşleşirse sürücü bu işlemi işlevin çıktısından kaldırır. Çekirdek sürücüsünün NtQuerySystemInformation sistem çağrısını ele geçirme yöntemi, büyük ölçüde InfinityHookPro projesinin kaynak koduna dayalı gibi görünmektedir.

Ağ etkinliğini gizleme

Sürücü, belirli aktif bağlantıları (belirtilen bir IP, bağlantı noktası veya her ikisinin birleşimi ile) gizleyecek şekilde yapılandırılabilir; böylece bu bağlantılar netstat.exe gibi yaygın ağ yönetim araçlarının çıktısında listelenmez. Bu, iyi bilinen bir teknikle (örn. [1], [2], [3], …) gerçekleştirilir; bu teknikte saldırganlar, nsiproxy.sys Windows çekirdek sürücüsünün DeviceIoControl işlevi içindeki IOCTL 0x12001B için IoCompletionRoutine’i ele geçirir. nsiproxy’nin 0x12001B IOCTL işleyicisindeki kod, aktif bağlantıların listesini almaktan sorumludur ve bu işleyicinin IoCompletionRoutine işlevine kanca takılması, saldırganların alınan listeyi taramasına, belirli bağlantı noktalarının, adreslerin veya her ikisinin varlığını kontrol etmesine ve bir eşleşme bulunursa listedeki belirli bağlantıyı gizlemesine olanak tanır. Şekil 8 , ağ bağlantılarını gizlemekten sorumlu kanca işlevini göstermektedir.

Şekil 8 . Ağ bağlantılarını gizlemekten sorumlu nsiproxy’nin IoCompletionRoutine kancasının Hex-Rays tarafından yapılan dekompilasyonu

Etkin ağ bağlantılarının gizlenmesine ek olarak, sürücü, herhangi bir açık TCP bağlantı noktasında alınan TCP paketlerini, IOCTL0x220200 ile yapılandırılan belirtilen TCP bağlantı noktasına (aslında bu, SprySOCKS arka kapısının TCP sunucusunun bağlantı noktasıdır) yönlendirmesine olanak tanıyan ilginç bir işlev içerir; ancak bu, yalnızca alınan TCP verilerinin özel olarak hazırlanmış veriler içermesi durumunda gerçekleşir. Bunu başarmak için sürücü, Windows Filtering Platform (WFP) API işlevlerini kullanarak kendi paket filtre nesnelerini kaydeder, aktarılan IPv4 paketlerinin içeriğini manuel olarak ayrıştırır (hem gelen hem de giden trafik denetlenir) ve alınan bir TCP paket verisi içinde özel olarak hazırlanmış veriler tespit edilirse trafiği yönlendirmeye devam eder. Bu özelliğin amacı, esas olarak ikili dosyaya bir C&C adresi gömmek zorunda kalmadan kötü amaçlı arka kapıyla iletişim kurma yeteneği sağlamaktır. Ayrıca bu şekilde yönlendirilen trafik Wireshark gibi araçlar kullanılarak incelenebilse de gerçek bağlantı noktası (trafiğin yönlendirildiği nokta) ortaya çıkmaz; dolayısıyla bu kötü amaçlı trafiğin gerçek hedefini araştırmak zor olabilir. 

Yüklü paket filtreleri ve tanımlayıcı bilgileri, Tablo 2 adresinde  listelenmiştir.

Tablo 2 . RawWNPF sürücüsü tarafından kaydedilen WFP filtre nesneleri

Arka kapının dosyalarını gizleme

Sürücü, kendisini bir minifiltre sürücüsü olarak kaydettirerek ve aşağıdaki geri çağırmaları yükleyerek SprySOCKS arka kapısının dosyalarını gizler/korur:

• her IRP_MJ_CREATE I/O isteğinde tetiklenen ve sürücünün gizli/korunan dosyalar listesinden bir dosya veya dizin oluşturma ya da açma girişiminde STATUS_NO_SUCH_FILE değerini döndürmekten sorumlu olan işlem öncesi geri çağırma,
• her IRP_MJ_DIRECTORY_CONTROL I/O isteğinde tetiklenen ve dizin numaralandırmasıyla ilgili olmayan istekleri filtreleyerek, yalnızca dizin numaralandırmasıyla ilgili olanların işlem sonrası geri çağırma işlevine iletilmesini sağlayan işlem öncesi geri çağırma işlevi, ve
• işlem sonrası geri çağırma, işlem öncesi geri çağırma kontrollerinden geçen IRP_MJ_DIRECTORY_CONTROL G/Ç isteklerinde tetiklenir. Bu geri çağırma, herhangi bir dizin listeleme girişiminden gizli/korumalı dosya girdilerini kaldırmaktan sorumludur.

Aşağıdaki sabit kodlanmış dosya adları listesi sürücü tarafından korunmaktadır:

• \SystemRoot\Fonts\tpsvc.dll
• \SystemRoot\Fonts\tpsvcloc.dll
• \SystemRoot\Fonts\ApphostRagistreationVerifier.exe
• \SystemRoot\Fonts\X1B5206BDC1743DD.dat
• \SystemRoot\Fonts\KX1B5206BDC1743DD.dat
• \SystemRoot\Fonts\KW1B5206BDC1743FP.dat

Kalıcılığın korunması

Sürücü, SprySOCKS yükleyicisinin kalıcılığı için kullanılan kayıt defteri anahtarını gizlemekle sorumlu bir RegistryCallback yordamını yüklemek üzere CmRegisterCallbackEx işlevini çağırır: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vds.exe. Sonuç olarak, anahtarı açmaya veya numaralandırmaya yönelik tüm girişimler sürücü tarafından filtrelenir.

WIN_PLUS bileşenleri

SprySOCKS WIN_PLUS sürümünde, telemetri verilerimizde ilk olarak kötü amaçlı şifreli konteyneri tespit ettik; ilk tespit, Temmuz 2024’e kadar uzanıyor ve Pakistan’daki bir kurbanın cihazında bulundu. Bu konteyner, SprySOCKS arka kapısını ve SprySOCKS yükleyicisini içeriyordu. C&C yapılandırması mevcuttu ve Şekil 9 ‘da gösterilmiştir.

Şekil 9 . SprySOCKS’un WIN_PLUS sürümüne ait C&C yapılandırması

Şifrelenmiş konteyner, saldırıya uğrayan sistemde aşağıdaki yolda bulunmaktaydı: 

• C:\Windows\System32\spool\drivers\color\config.dat

Şifresi çözüldüğünde, konteynerin içinde bir SprySOCKS yükleyicisi ve SprySOCKS arka kapısının kendisi bulunduğu görüldü. Konteynerdeki SprySOCKS arka kapısının daha ayrıntılı analizi, bu durumda şifrelenmiş konteynerden SprySOCKS yükleyicisini yüklemekle sorumlu ek bir bileşen olduğunu ortaya koydu. Bu analizde birinci aşama yükleyici olarak adlandırılan bu bileşen, aşağıdaki kayıt defteri anahtarı altında bir yazdırma işlemcisi olarak yüklenmelidir:

HKLM\SYSTEM\ControlSet001\Control\Print\Environments\Windows x64\Print Processors\VSPMsg

İlginç bir şekilde, telemetri verilerimizde bu VSPMsg dizesiyle ilgili herhangi bir şey aradığımızda, Honduras’taki iki farklı kurban cihazda C:\Windows\System32\spool\prtprocs\x64\VSPMsg.dll konumunda dağıtılmış bir dosya keşfettik. Bu dosyanın, yukarıda bahsedilen config.dat dosyasından SprySOCKS yükleyicisini çalıştırmaktan sorumlu birinci aşama yükleyici olduğu ortaya çıktı. 

SprySOCKS WIN_PLUS varyantının yürütme şeması, Şekil 10 adresinde gösterilmiştir. 

Şekil 10 . SprySOCKS WIN_PLUS varyantının yürütme şeması

Birinci aşama yükleyici

Bu yükleyici, öncelikle spoolsv.exe tarafından çalıştırılıp çalıştırılmadığını kontrol eder ve çalıştırılmamışsa sonlandırılır; bu, yükleyicinin bir yazdırma işlemcisi olarak çalıştırılması amaçlandığından, davranışını otomatik kötü amaçlı yazılım analiz sanal ortamlarından gizler. Ardından, C:\Windows\System32\spool\drivers\‌ color\config.dat adlı şifreli kapsayıcıdan SprySOCKS yükleyicisinin şifresini çözmeye devam eder. Öncelikle, yükleyiciyi sabit kodlanmış uXQLESMXGaRMs6BL anahtarıyla 128 bit AES-ECB şifresini çözer, ardından işlem doppelgänging yöntemi kullanarak yeni oluşturulan svchost.exe işlemine enjekte eder. Bu sırada, SprySOCKS yükleyicisi, %TEMP% dizinine TH önekine sahip bir geçici dosyaya bırakılır.

Örnek, iki işlevi dışa aktarır:

• GetErrorMessageModule
• SetErrorMessageModule

SetErrorMessageModule işlevi herhangi bir işlem yapmazken GetErrorMessageModule işlevi yükleyicinin kendisinin kalıcılığını sağlamak amacıyla kullanılır. Yürütüldüğünde, HKLM\SYSTEM\ControlSet001\Control\Print\Environments\Windows x64\Print Processors\VSPMsg kayıt defteri anahtarını oluşturur, Driver kayıt defteri değerini VSPMsg.dll olarak ayarlar ve sabit kodlanmış C:\ProgramData\Microsoft Event\PFs\VSPMsg.dll dosyasını C:\Windows\System32\spool\prtprocs\x64\ dizinine kopyalar. Bir sonraki adım olarak, şifrelenmiş konteyneri C:\ProgramData\Microsoft Event\PFs\config.dat konumundanC:\Windows\System32\spool\drivers\color\config.dat konumuna kopyalar ve işlem tamamlandığında affair-build.bat toplu iş komut dosyasını oluşturup C:\Windows\System32\spool\drivers\color\ dizinine yerleştirir ve çalıştırır. Şekil 11 ‘de gösterildiği gibi, bu komut dosyasının amacı, orijinal dağıtım dizinindeki dosyaları silerek yükleyicinin izlerini örtmek ve yazdırma biriktirici hizmetini yeniden başlatarak yeni yüklenen yazdırma işlemcisinin çalıştırılmasını tetiklemektir. 

Şekil 11 . Birinci aşama SprySOCKS WIN_PLUS yükleyicisi tarafından kullanılan affair-build.bat toplu iş komut dosyası

SprySOCKS yükleyici

Bu yükleyici, öncelikle fqwhi2d1qaz2 adında sabit kodlanmış bir mutex oluşturarak başlar ve ardından C:\Windows\System32\spool\drivers\color\‌ config.dat konumunda bulunan şifreli konteynerden SprySOCKS arka kapısını yüklemeye devam eder. Yükleyici, sabit kodlanmış uXQLESMXGaRMs6BL anahtarıyla arka kapıyı 128 bit AES-ECB şifre çözme işlemiyle açar, ardından işlem klonlama yöntemi ile yeni oluşturulan svchost.exe sürecine enjekte eder. Bu sırada, SprySOCKS yükleyicisi, %TEMP% dizinine, dosya adı önekini TH olarak içeren geçici bir dosyaya bırakılır.

SprySOCKS arka kapısı

Son olarak, SprySOCKS arka kapısının kendisine yönelik analizimize geçiyoruz. WIN_DRV ve WIN_PLUS olmak üzere her iki varyantta da arka kapının işlevselliği neredeyse aynıdır; farklılıklar yalnızca kullanılan belirli dosya yolları, kayıt defteri anahtarları ile sınırlıdır ve daha önce de belirtildiği gibi, WIN_PLUS sürümü gelişmiş gizlilik için RawWNPF sürücüsünü kullanmamaktadır. 

Bu raporda analiz edilen her iki varyant da orijinal adı PrcsServer.dll olan ve Stop adlı bir işlevi dışa aktaran DLL’lerdir. Başlangıçta prcs-server-run adlı bir mutex oluştururlar ve hemen ardından, arka kapının ana işlevselliğinin başlatılmasına geçerler; bu, C&C iletişim kanallarının (sabit kodlanmış yapılandırmaya dayalı olarak) başlatılması ve keylogger’ın kurulmasını içerir. Bu eylemlere ek olarak, WIN_DRV arka kapı sürümü, 0x222000 IOCTL işleyicisini çağırarak RawWNPF sürücüsünü başlatır ve ardından sürücünün 0x220350 IOCTL’sini çağırarak kendi sürecini gizler.

Tuş kaydı, yalnızca %appdata%\Microsoft\Vault\lgf.dat konumunda, key adlı ve değeri 1 olarak ayarlanmış bir özellik içeren bir config bölümü barındıran mevcut bir INI dosyası varsa etkinleştirilir. Bu koşullar karşılanırsa her iki arka kapı da Global\{DCAA7ED8-521B-4EAB-BE21-65254CF59239} adlı bir mutex oluşturur ve panodaki verileri, etkin pencere başlığı ve tuş vuruşlarıyla birlikte %appdata%\Microsoft\Vault\lg.dat dosyasına periyodik olarak kaydeder. Dosyadaki veriler, 0x44anahtarı kullanılarak tek baytlı bir XOR şifreleme yöntemiyle şifrelenir.

C&C iletişimi

Arka kapı, C&C ile iletişim için üç protokolü desteklemektedir – TCP, UDP ve WebSocket – ve hem istemci hem de sunucu olarak işlev görebilir. Ağ ile ilgili işlevsellik büyük ölçüde HP-Socket ağ çerçevesine dayanmaktadır ve bazı şifreleme işlevleri Crypto++ kütüphanesi kullanılarak uygulanmıştır. 

C&C yapılandırması arka kapıya gömülüdür ve şunları içerebilir:

• en fazla üç IP adresi ve ilgili bağlantı noktaları; her biri, iletişim kanallarından biri (TCP, UDP veya WebSocket) için bir C&C IP adresini ve bağlantı noktasını belirtir; ve
• en fazla üç bağlantı noktası numarası; her biri, arka kapının yeni bağlantılar için dinlemesi gereken bir bağlantı noktasını belirtir. Bunlardan biri TCP sunucusu, biri UDP sunucusu ve biri de WebSocket sunucusu için kullanılır.

WIN_PLUS sürümünden bir yapılandırma örneği, Şekil 9 ‘da gösterilmiştir ve şunları içerir:

• TCP iletişim kanalı için C&C adresi ve bağlantı noktası: 207.148.78[.]36:443.
• UDP iletişim kanalı için C&C adresi ve bağlantı noktası: 207.148.78[.]36:53.
• WebSocket iletişim kanalı için C&C adresi ve bağlantı noktası: 207.148.78[.]36:80.
• Arka kapının TCP sunucusu dinleme bağlantı noktası: 53781.

Herhangi bir bağlantı başlatılmadan veya bir sunucu başlatılmadan önce, SprySOCKS WIN_DRV sürümü, RawWNPF sürücüsünün0x220340 ve 0x220200 numaralı IOCTL’lerini çağırarak yapılandırmadaki adreslere veya bağlantı noktalarına yönelik tüm bağlantıları gizler. Sonuç olarak, bu bağlantılar aktif olmalarına rağmen netstat.exe gibi araçların çıktısında listelenmez. Ayrıca her iki arka kapı sürümü de netsh.exe yardımcı programını iki kez çalıştırır:

netsh.exe netsh advfirewall firewall delete rule name=”Core Networking – Packet Too Big(ICMPv6 – In)”

netsh advfirewall firewall add rule name=”Core Networking – Packet Too Big(ICMPv6 – In)” dir=in action=allow protocol=tcp localport=53781

İlk komut, belirtilen bir güvenlik duvarı kuralını siler; ikincisi ise az önce silinene aynı isimde yeni bir güvenlik duvarı kuralı ekler ve yapılandırmada belirtilen arka kapının TCP sunucu bağlantı noktasına gönderilen tüm gelen TCP trafiğine izin verir.

C&C yapılandırması boşsa (VirusTotal’da keşfettiğimiz WIN_DRV sürümünde olduğu gibi), arka kapı, ele geçirilmiş makinedeki rastgele bir bağlantı noktasını dinleyen bir TCP sunucusu başlatır ve ayrıca RawWNPF sürücüsünün IOCTL 0x220200 komutunu çağırarak bu bağlantı noktasını gizler. Bu çağrı, TCP sunucusunun standart ağ araçlarının çıktısında listelenmesini engellemekle kalmaz, aynı zamanda RawWNPF sürücüsü tarafından sağlanan TCP yönlendirme özelliğini de etkinleştirir. Bu özellik, saldırganların arka kapının dinlediği gerçek bağlantı noktasını bilmeden, kurbanın makinesindeki herhangi bir açık TCP bağlantı noktasına özel olarak hazırlanmış TCP verileri göndererek arka kapıya komutlar göndermesine olanak tanır.

TCP iletişim kanalı açısından, C&C protokolü Trend Micro’nun raporunda analiz edilen Linux sürümündekiyle aynı kalmış gibi görünüyor. Gerçek arka kapı verilerini göndermeden önce her seferinde, başlığın geri kalan kısmının 32 bitlik CRC’sini,0xACACBCBC DWORD sihirli değerini ve başlığın ardından gelen verilerin boyutunu belirten bir DWORD değerini içeren 12 baytlık bir başlık gönderir.

UDP ve WebSocket kanalları için sihirli değerler farklıdır; mesaj başlığı biçimi ve boyutu da farklıdır. UDP kanalında sihirli değer0xACACBFBC’dir ve 36 baytlık bir başlığın 0x1C ofsetinde yer alır; bunu, takip eden verilerin boyutunu belirten bir DWORD izler. WebSocket kanalında ise 0x1BDCCBAA sihirli değeri, WebSocket başlığında bir Masking-Key olarak kullanılır. Şekil 12 , her bir iletişim kanalına ait sihirli değerleri içeren bir ağ trafiği yakalama örneğini göstermektedir. 

Şekil 12 . TCP, UDP ve WebSocket (sırasıyla yukarıdan aşağıya doğru) C&C iletişim kanallarında kullanılan sihirli değerleri gösteren SprySOCKS ağ trafiği yakalama görüntüsü

Başlığın ardından yine 32 bitlik bir CRC, ardından WORD değeri 0x0003 (muhtemelen şifreleme yöntemini belirtir) ve ardından base64 ile kodlanmış 128 bitlik AES-ECB modu şifreli veriler (sabit kodlanmış anahtar QFTHEYjzX3RBOMgZ kullanılarak) gelir.

Kod çözme ve şifre çözme işlemlerinden önceki ve sonraki bir C&C mesajı örneği, Şekil 13 ‘te gösterilmiştir.

Şekil 13 . Wireshark’ta görülen SprySOCKS C&C mesajı örneği (solda) ve kod çözme ve şifre çözme işlemlerinden sonra içeriği (sağda)

Şifresi çözülmüş C&C mesajındaki __msgid değeri, arka kapı tarafından yürütülmesi gereken ve bir mesaj kimliği ile tanımlanan bir komutu belirtmek için kullanılır. Arka kapı tarafından desteklenen mesaj kimliklerinin listesi ve açıklamaları Tablo 3 adresinde bulunabilir. Bu komutların tümünü derinlemesine analiz etmediğimizi unutmayın; bu nedenle, bazı açıklamalar sadece mesaj kimliğinin ilişkili olduğu kod/işlevselliğin bir kısmına dair genel bir bakış niteliğindedir.

Tablo 3 . SprySOCKS C&C komutları; * ile işaretlenmiş açıklamalar geçici değerlendirmelerdir

Ağ altyapısı

Bu kampanyada yalnızca bir C&C adresi tespit edilmiştir: 207.148.78[.]36; bu adres, SprySOCKS arka kapısının WIN_PLUSvaryantının yapılandırmasında ( Şekil 9 ‘da gösterilmiştir) sabit olarak kodlanmıştır.

Arka kapının C&C ile iletişim kurmak için kullanması gereken yapılandırmadaki bağlantı noktaları: 

• TCP: 443
• UDP: 53
• WebSocket: 80

Trend Micro’nun raporunda belirtildiği üzere, yukarıdaki C&C ile aynı 207.148.64.0/20 IP aralığından gelen207.148.75[.]122 IP adresi, Haziran 2023’te FishMonger operatörleri tarafından bir SprySOCKS dağıtım sunucusu olarak kullanıldı. Bu IP aralığı, Vultr bulut barındırma sağlayıcısına aittir.

Sonuç

Daha önce yalnızca Linux’a özgü bir arka kapı olarak bilinen SprySOCKS’un Windows varyantının keşfi, FishMonger’ın platformlar arası yeteneklerinin önemli ölçüde genişlediğini göstermektedir. Analizimiz, Windows sürümünün, C&C protokolü, kullanılan şifreleme ve genel komut işleme mantığı dâhil olmak üzere Linux öncülünün temel mimarisinin çoğunu koruduğunu ancak gerektiğinde Windows’a özgü mekanizmalarla ikame ettiğini ve çekirdek sürücülerini devreye sokarak arka kapının gizliliğini artırdığını göstermektedir. Olası bir UEFI bootkit katılımına dair sınırlı göstergeler göz önüne alındığında, herkese grubun faaliyetlerini yakından takip etmelerini tavsiye ediyoruz. 

IOC’ler

Files

Network

MITRE ATT&CK teknikleri

Bu tablo, MITRE ATT&CK çerçevesinin 19. sürümü kullanılarak oluşturulmuştur.