Güvenlik araştırmacıları, şüpheli dosyaları ve URL’leri analiz etmek için kullanılan çevrimiçi hizmet olan VirusTotal’da arama yaparak büyük miktarda çalıntı kullanıcı kimlik bilgilerini toplamanın bir yöntemini buldular.
600 € (yaklaşık 679 $) VirusTotal lisansı ve birkaç araçla SafeBreach araştırma ekibi bu tekniği kullanarak bir milyondan fazla kimlik bilgisi topladı. Amaç, bir suçlunun Google’a ait olan ve birkaç antivirüs motoru kullanarak şüpheli dosyaları ve bağlantıları yüklemek ve kontrol etmek için kullanılabilecek ücretsiz bir hizmet sağlayan VirusTotal lisansıyla toplayabileceği verileri belirlemekti.
VirusTotal’daki lisanslı bir kullanıcı, diğerlerinin yanı sıra dosya türü, dosya adı, gönderilen veriler, ülke ve dosya içeriği için bir sorgu kombinasyonuyla hizmetin veri kümesini sorgulayabilir. SafeBreach ekibi, suçluların savunmasız web sitelerini, Nesnelerin İnterneti cihazlarını, Web kabuklarını ve hassas veri sızıntılarını aramak için kullandığı “Google korsanlığı” yöntemine dayalı olarak “VirusTotal korsanlığı” fikrini oluşturdu.
Pek çok bilgi hırsızı farklı forumlardan, posta hesaplarından, tarayıcılardan ve diğer kaynaklardan kimlik bilgilerini toplar ve bunları sabit kodlanmış bir dosya adına (örneğin, “all_credentials.txt”) yazar ve ardından bu dosyayı kurbanın cihazından saldırganlara sızdırır. ‘ komuta ve kontrol sunucusu. Bu yöntemi kullanan araştırmacılar, arama, VirusTotal Graph ve Retrohunt gibi VirusTotal araçlarını ve API’lerini aldı ve bunları çalıntı verileri içeren dosyaları bulmak için kullandı.
SafeBreach güvenlik araştırması direktörü Tomer Bar, “Bu, kötü amaçlı yazılımlarda güçlü bir anlayış gerektirmeyen oldukça basit bir tekniktir” diyor. “İhtiyacınız olan tek şey, en yaygın bilgi hırsızlarından birini seçmek ve çevrimiçi olarak okumak.”
Araştırmacılar, hassas verileri çalmak için RedLine Stealer, Azorult, Raccoon Stealer ve Hawkeye gibi bilinen kötü amaçlı yazılımların yanı sıra DrDark ve Snatch_Cloud gibi bilinen forumları kullanarak araştırmalarını yürüttüler. Metot çalışmalarını ölçekte buldular.
RedLine Stealer, bağımsız bir satın alma veya abonelik yoluyla yeraltı forumlarında satılan bir kötü amaçlı yazılım biçimidir. Kaydedilmiş kimlik bilgileri, otomatik tamamlama verileri ve kredi kartı ayrıntıları gibi verileri toplamak için tarayıcıları kullanır. Kötü amaçlı yazılım, hedef bir makinede çalıştığında, kullanıcı adı, konum verileri, donanım yapılandırması ve güvenlik yazılımının ayrıntıları gibi bilgileri içeren bir sistem envanteri alır. RedLine Stealer dosyaları yükleyebilir ve indirebilir ve komutları yürütebilir.
Başlangıç olarak, araştırmacılar en az bir antivirüs motoru tarafından RedLine olarak tanımlanan ikili dosyaları aramak için VirusTotal Query’yi kullandılar ve 800 sonuç verdi. Ayrıca, kötü amaçlı yazılımın sızdığı dosya adlarından biri olan DomainDetects.txt adlı dosyaları da aradılar. Bu, yüzlerce sızdırılmış dosya döndürdü.
Ardından, lisanslı VirusTotal kullanıcılarının veri kümesini görsel olarak keşfetmesine olanak tanıyan VirusTotal Graph’a döndüler. Orada, araştırmacılar, arama sonuçlarından bir dosyanın, birçok farklı web sitesine 22.715 şifre dahil olmak üzere 500 kurbana ait sızdırılmış verileri içeren bir RAR dosyasına dahil edildiğini buldular. Ek sonuçlar, daha fazla parola içeren daha da büyük dosyaları içeriyordu. Araştırmacılar, bazılarının hükümetle ilgili URL’ler için olduğunu belirtti.
Araştırmacıların bu araçların her birini kullanma süreci ayrıntılı olarak verilmiştir. bulgularının bir yazısında.
“Mükemmel” Siber Suç
Aralarından seçim yapabileceğiniz çok sayıda bilgi hırsızı olsa da, araştırmacılar VirusTotal veri setinde onlar tarafından sızdırılan dosyaları bulma olasılıklarının daha yüksek olması nedeniyle yaygın olarak kullanılan beş tanesini seçtiler.
Bar, SafeBreach ekibinin VirusTotal’ı keşfederken sorgularını öğrendiğini ve geliştirdiğini söylüyor. Örneğin, bazı saldırganların kurbanların verilerini büyük bir arşiv dosyasında sıkıştırdığını buldular. VirusTotal, sabit kodlanmış dosya adlarını içeren arşiv dosyalarını aramak için bir yol sağlar, böylece tek bir dosya bulduklarında, yüzlerce kurbana ait çalıntı verileri de bulmuşlardır, diye açıklıyor.
Araştırmacılar blog yazılarında, “Bu yöntemi kullanan bir suçlu, neredeyse sınırsız sayıda kimlik bilgilerini ve diğer kullanıcıya duyarlı verileri kısa sürede çok az çabayla, enfeksiyonsuz bir yaklaşımla toplayabilir” diye yazdı. “Mükemmel siber suç olarak adlandırdık, sadece risk olmaması ve çabanın çok düşük olması nedeniyle değil, aynı zamanda mağdurların kendilerini bu tür faaliyetlerden koruyamamaları nedeniyle.”
Araştırmacılar bulgularıyla Google’a ulaştı ve VirusTotal’dan kişisel verileri içeren dosyaları istedi. Ayrıca, hassas kullanıcı verileri içeren dosyaların düzenli olarak aranmasını ve kaldırılmasını ve bu dosyaları yükleyen API anahtarlarının yasaklanmasını tavsiye ettiler.
SafeBreach ayrıca Google’a düz metin içeren hassas veriler içeren dosyaların veya metin veya resim olarak şifre çözme şifresi eklenmiş olarak şifrelenmiş dosyaların yüklenmesine izin vermeyen bir algoritma eklemesini tavsiye etti.