DNS Sorguları ile Kötü Amaçlı PowerShell Scripti Dağıtımı
Son dönemde, tehdit aktörleri DNS sorgularını ClickFix sosyal mühendislik saldırılarının bir parçası olarak kötü amaçlı yazılım dağıtımında kullanmaya başladı. Bu durum, DNS’in bu tür kampanyalarda bir iletişim kanalı olarak ilk kez kullanılması açısından önem taşımaktadır.
ClickFix saldırıları, genellikle kullanıcıları hataları düzeltme, güncellemeler yükleme veya işlevselliği etkinleştirme gerekçesiyle kötü amaçlı komutlar çalıştırmaya ikna eder. Ancak, bu yeni varyant, saldırgan kontrolündeki bir DNS sunucusunun ikinci aşama yükünü DNS sorguları üzerinden dağıttığı yenilikçi bir teknik içermektedir.
Saldırı Nasıl Çalışıyor?
Microsoft tarafından gözlemlenen yeni bir ClickFix kampanyasında, kurbanların varsayılan DNS sunucusu yerine saldırgan kontrolündeki DNS sunucusunu sorgulamak için nslookup komutunu çalıştırmaları istenmektedir. Bu komut, kurbanın cihazında kötü amaçlı yazılım yüklemek amacıyla çalıştırılan bir PowerShell scripti içeren bir sorgu döndürmektedir.
Microsoft Tehdit İstihbaratından yapılan bir açıklamada, “Saldırganlar, hedeflere özel bir DNS sorgusu çalıştıracak bir komut çalıştırmalarını isteyerek ClickFix tekniğine karşı başka bir kaçış yöntemi kullanıyor” denilmektedir. Komut, Windows’un Çalıştır penceresinde çalıştırılmasını gerektirmektedir.
Bu komut, example.com ana bilgisayarı için saldırganın DNS sunucusu olan 84[.]21.189[.]20 üzerinde bir DNS sorgusu yapacak ve ardından dönen yanıtı Windows komut yorumlayıcısı (cmd.exe) aracılığıyla çalıştıracaktır.
Dönen DNS cevabı, cihazda çalıştırılacak ikinci PowerShell yükünü içeren bir NAME: alanı döndürmektedir. Microsoft’a göre, bu sunucu artık mevcut değil, ancak ikinci aşama PowerShell komutu saldırgan kontrolündeki altyapıdan ek kötü amaçlı yazılımlar indirmiştir.
Bu saldırı, sonunda bir ZIP arşivini indirmekle sonuçlanmaktadır; bu arşiv, enfekte olmuş cihaz ve alan üzerinde keşif gerçekleştiren Python runtime yürütülebilir dosyasını ve kötü amaçlı scriptleri içermektedir.
Saldırı, %APPDATA%WPy64-31401pythonscript.vbs ve %STARTUP%MonitoringService.lnk kısayolunu oluşturarak sürekli bir varlık elde etmekte ve VBScript dosyasını başlatma sırasında çalıştırmaktadır. Nihai yük, saldırganların uzaktan kontrol sağlamasına olanak tanıyan ModeloRAT adlı bir uzaktan erişim Trojandır.
Diğer ClickFix saldırılarından farklı olarak, bu teknik kötü amaçlı yazılım yüklerini HTTP üzerinden almak yerine DNS’i bir iletişim ve sahneleme kanalı olarak kullanmaktadır. Bu sayede, saldırganlar kötü amaçlı PowerShell scriptlerini taşıyan yükleri anlık olarak değiştirebilmekte ve normal DNS trafiğiyle karışabilmektedir.
Etkilenen Sistemler
- Windows işletim sistemleri
- PowerShell kullanımını destekleyen tüm platformlar
ClickFix Saldırıları Hızla Evriliyor
ClickFix saldırıları, son bir yıl içinde hızla evrim geçirerek, tehdit aktörlerinin yeni dağıtım taktikleri ve yük türleri denemelerine olanak sağlamaktadır. Daha önceki ClickFix kampanyaları, kullanıcıları doğrudan PowerShell veya komut sisteminde kötü amaçlı yazılım yüklemeye zorlamaktaydı.
Son dönemde karşılaşılan ClickFix saldırıları, geleneksel kötü amaçlı yazılım yüklerini web üzerinden dağıtmanın ötesine geçerek, yeni teknikler geliştirmiştir. Örneğin, “ConsentFix” adlı bir ClickFix saldırısı, Microsoft hesaplarını parola gerektirmeden ele geçirip çok faktörlü kimlik doğrulamayı (MFA) atlayarak Azure CLI OAuth uygulamasını kötüye kullanmaktadır.
Ayrıca, yapay zeka LLM’lerinin günlük kullanımındaki artışla birlikte, tehdit aktörleri ClickFix saldırılarını tanıtan sahte rehberler yayınlamak için paylaşılan ChatGPT ve Grok sayfalarını kullanmaya başlamıştır.
Çözüm ve Korunma
- Güncellemeleri düzenli olarak yapın: Sistem ve uygulamalarınızın en güncel sürümlerini kullanmak, bu tür saldırılara karşı koruma sağlayacaktır.
- DNS ayarlarını gözden geçirin: Varsayılan DNS sunucularınızı kontrol edin ve güvenilir DNS sunucularını kullanın.
- Kötü amaçlı yazılım tarayıcıları kullanın: Sistemlerinizi sürekli olarak kötü amaçlı yazılımlara karşı taramak için güncel bir güvenlik yazılımı kullanın.
Sonuç olarak, kullanıcılar dikkatli olmalı ve tanımadıkları komutları çalıştırmaktan kaçınmalıdır. Ayrıca, sistemlerini her zaman güncel tutmaları ve DNS ayarlarını güvenilir kaynaklarla değiştirmeleri önemlidir.
