Giriş
Siber güvenlik araştırmacıları, hassas bilgileri ele geçirmek için tasarlanmış, Python tabanlı bir arka kapı framework’ü olan DEEP#DOOR hakkında detaylar açıkladı. Bu tür tehditlerin, sistemlerin güvenliğini tehdit etme potansiyelinin yüksek olması, bu konunun önemini artırmaktadır.
Saldırı Nasıl Çalışıyor?
Saldırı süreci, Windows güvenlik kontrollerini devre dışı bırakan bir toplu iş scripti (şu adıyla ”install_obf.bat”) ile başlar. Bu script, yerleşik bir Python yükünü (‘svc.py’) dinamik olarak çıkararak, çeşitli yollarla kalıcılık sağlamakta; bunlar arasında:
- Başlangıç klasörü scriptleri
- Kayıt defteri Run anahtarları
- Planlanmış görevler
- Opsiyonel WMI abonelikleri
Araştırmalara göre, bu toplu iş scriptinin dağıtımında genellikle oltalama (phishing) yöntemleri kullanılmaktadır.
Etkilenen Sistemler
Sistemlerdeki zararlı yazılım, bore[.]pub adlı Rust tabanlı bir tünelleme servisi ile iletişim kurmakta ve uzaktan komut yürütmek için aşağıdaki yetenekleri sunmaktadır:
- Reverse shell (ters kabuk)
- System reconnaissance (sistem keşfi)
- Keylogging (tuş kaydı)
- Clipboard monitoring (panoya gözlem)
- Screenshot capture (ekran görüntüsü alma)
- Webcam access (kameraya erişim)
- Ambient audio recording (çevresel ses kaydı)
- Web browser credential harvesting (web tarayıcısı kimlik bilgisi toplama)
- SSH key extraction (SSH anahtarlarının çıkarılması)
- Stored credentials in browsers (Google Chrome ve Mozilla Firefox gibi)
- Cloud service credential theft (AWS, Google Cloud, Azure)
Çözüm ve Korunma
DEEP#DOOR, kapsamlı bir anti-analiz ve savunma aşma mekanizmaları kullanmaktadır. Bunlar arasında:
- Sandbox tespiti
- Debugger tespiti
- Sanallaştırma ortamı tespiti
- AMSI ve ETW yamaları
- NTDLL unhooking
- Microsoft Defender ile müdahale
- SmartScreen atlatma
- PowerShell günlüğü bastırma
- Log temizleme
Bu mekanizmalar, saldırganların izlenme olasılığını azaltmakta ve olay müdahale çalışmaları sırasında zorluk çıkarmaktadır.
Sonuç
DEEP#DOOR’un etkilerini en aza indirmek için sistemlerinizde aşağıdaki adımları atmalısınız:
- Tüm yazılımları güncelleyin ve güvenlik yamalarını uygulayın.
- Güvenlik duvarlarını kontrol ederek gerekirse portları kapatın.
- Eğitim programları ile çalışanlarınızı oltalama saldırıları konusunda bilinçlendirin.
- Güvenilir güvenlik çözümleri kullanarak sistemlerinizi tarayın.
Bu adımlar, DEEP#DOOR ve benzeri tehditlere karşı güvenliğinizi artırmanıza yardımcı olacaktır.
