OneClik Kampanyası: Siber Güvenlikte Yeni Bir Tehdit
Son zamanlarda, OneClik adı verilen gelişmiş bir siber saldırı kampanyasının, Microsoft’un ClickOnce yazılım dağıtım aracını ve özel Golang arka kapılarını kullanarak, enerji, petrol ve gaz sektörlerindeki kuruluşları tehlikeye attığı tespit edilmiştir. Saldırganlar, AWS gibi meşru bulut hizmetlerini kullanarak, komut ve kontrol (C2) altyapılarını gizli tutmayı başarmaktadır. Bu makalede, OneClik kampanyasının özellikleri, saldırı teknikleri ve siber güvenlikteki yeri hakkında detaylı bilgi vereceğiz.
ClickOnce Dağıtım Aracının Kötüye Kullanımı
OneClik saldırıları, meşru araçlarla özel zararlı yazılımları ve bulut hizmetlerini harmanlayarak, saldırganın operasyonunu tespit etmesini zorlaştırmaktadır. Saldırı genellikle, Azure ekosisteminde barındırılan sahte bir donanım analiz sitesi aracılığıyla phishing (oltalama) e-postasıyla başlar. Bu e-posta, meşru bir araç olarak gizlenmiş bir .APPLICATION dosyası (ClickOnce manifestosu) içerir.
Trellix siber güvenlik şirketinin araştırmacıları, saldırganların ClickOnce uygulamalarını zararlı yazılım yükleri için bir dağıtım mekanizması olarak kullandığını belirtmektedir. Bu yöntem, kullanıcı hesap kontrol mekanizmasını (UAC) tetiklemeden saldırganların zararlı payload’ları çalıştırmasına izin verir. ClickOnce uygulamaları, dfsvc.exe altında çalıştığından, saldırganlar zararlı yükleri bu güvenilir ana bilgisayar aracılığıyla gerçekleştirebilir.
OneClik Saldırılarının Enfeksiyon Zinciri
Saldırı gerçekleştiğinde, ClickOnce yükleyici, kötü amaçlı yazılım yüklerini çalıştırmak üzere .NET uygulamalarının yükleme süreçlerini ele geçirir. Bu süreç, AppDomainManager enjekte etme tekniği ile sağlanmaktadır. OneClik örneğinde, saldırgan, ZSATray.exe, umt.exe veya ied.exe gibi meşru bir .NET çalıştırılabilir dosya kullanarak başka bir bağımlılığı yükleyebilmiştir.
Yükleyici devreye girdikten sonra, payload çalıştırılması dfsvc.exe altında gerçekleştirilerek, ClickOnce faaliyetleriyle karıştırılmaktadır. Bu gizlilik, bir süreliğine operasyonun saptanmasını zorlaştırmak için, saldırganların AWS gibi meşru bulut hizmetlerini kullanmasını içermektedir. Bu sayede, C2 iletişimi normal bulut kullanımına benzetilerek, masum CDN trafiğiyle harmanlanmaktadır.
Golang Tabanlı RunnerBeacon Arka Kapısı
OneClik kampanyasının önemli bir bileşeni olan RunnerBeacon arka kapısının analizi, tüm trafiği RC4 akış şifreleme algoritmasını kullanarak şifrelediğini ve verileri MessagePack aracılığıyla sıraladığı göstermiştir. Arka kapı, BeaconData, FileRequest, CommandRequest gibi çeşitli mesaj türlerine sahip modüler bir mesaj protokolü içermektedir.
Araştırmacılar, arka kapının analizini zora sokmak için birkaç farklı yöntem kullandığını tespit etmiştir. Bunlar arasında "obfuscate_and_sleep" rutini ve mesaj atışlarında rastgele "jitter" yer almaktadır. Saldırgan, bu arka kapı ile aşağıdaki eylemleri gerçekleştirebilmektedir:
- Shell komutları çalıştırmak (CreateProcessW)
- Süreçleri listelemek
- Dosya işlemleri gerçekleştirmek (dizin listeleme, yükleme, indirme)
- Ağ ile ilgili görevler yapmak (port taraması)
- Verileri yönlendirmek için bir SOCKS5 tüneli oluşturmak
RunnerBeacon, aynı zamanda süreç enjeksiyonu gibi gelişmiş işlemlere de sahip olduğu için siber tehditler için önemli bir araç haline gelmiştir.
Dikkatli Atıf Yöntemi
OneClik kampanyasının keşfi oldukça yeni olsa da, Eylül 2023’te Orta Doğu’daki bir petrol ve gaz sektöründeki şirkette RunnerBeacon yükleyicisinin bir varyantı tespit edilmiştir. Bu varyantın teslimat yöntemi belirlenemese de, kodu neredeyse OneClik operasyonundaki analiz edilen modülle aynıdır.
Tekniklerin, taktiklerin ve prosedürlerin Çin bağlantılı bir state aktörüne işaret ettiğine dair ipuçları bulunmaktadır. Dahası, .NET AppDomainManager enjekte etme tekniği, daha önce Çinli tehdit aktörlerine atfedilen birçok siber saldırıda kullanılmıştır. Ancak, bu benzerlikler, OneClik saldırılarını belirli bir tehdit aktörüne atfetmek için yeterli değildir.
Trellix raporu, OneClik kampanyasının tüm bileşenlerine ilişkin ilk belirti listesi sunmaktadır. Bu liste, oltalama yemleri, zararlı yazılım yükleyicileri, konfigürasyon dosyaları, arka kapı ikili dosyaları, meşru çalıştırılabilir dosyalar ve alan adlarını içermektedir.
OneClik kampanyası, siber güvenlik alanında dikkat edilmesi gereken bir tehdit olarak ortaya çıkıyor. Gelişmiş teknikler ve bulut hizmetlerinden sağlanan gizlilik, saldırıların tespit edilmesini zorlaştırmakta ve bu durum, siber güvenlik uzmanlarını daha proaktif önlemler almaya yönlendirmektedir.
