4 Aralık 2014 Perşembe

Backdoor.Destover


1 Aralık 2014 günü FBI  “Backdoor.Destover” olarak adlandırılan çok tehlikeli bir zararlı yazılım ile ilgili bir flaş uyarı bülteni yayınladı. Geniş bir yelpazedeki kurumsal ağları hedef alan bu zararlı yazılım bulaştığı bilgisayarda Master Boot Record (MBR) alanını silerek bilgisayarı kullanılamaz ve verileri ulaşılamaz hale getirmektedir.



Saldırı Vektörü:
Zararlının ilk bileşeni “diskpartmg16.exe” henüz bilinmeyen bir yöntemle hedef bilgisayara bulaştırılıyor. Saldırganların bulaştırma işlemini oltalama saldırısı (phishing) veya  normal internet kullanımı sırasında (“drive-by-download”) ile gerçekleştirdiği düşünülmektedir. İlk bulaştırma işlemi konusunda araştırmalar devam etmektedir. 

Zararlı yazılımın bileşeni çalıştırıldığında kendini, -K komut satırı argümanını kullanarak, bir servis (“WinsSchMgmt”)  olarak sisteme yüklemektedir. Bu işlemden sonra –S komut satırı argümanını kullanarak kendini bir kez daha çalıştırmakta ve sonlandırmaktadır. 

“WinsSchMgmt”  servisi –S parametresini aldıktan sonra son derece tehlikeli olan “igfxtrayex.exe” ve “net_ver.dat” dosyalarından oluşan (Wiper) zararlısını indiriyor ve igfxtrayex.exe’yi çalıştırıyor. 

“Net_ver.dat”, kurbanın makine adı (hostname), IP adresini, ve 2 rakamını içeren (HOSTNAME|IPAddress|2) bir konfigürasyon dosyası. dosyası bir konfigürasyon dosyasıdır. Daha sonra 139 ve 445 portları üzerinden ağ bağlantısı kurmaktadır, bu özelliği solucan (worm) benzeri yeteneklerinin olabileceğinin bir göstergesidir. 

“WinsSchMgmt” tarafından çalıştırılan “igfxtrayex.exe” dosyası, kendini kopyalıyor. Bu kopya 10 dakika bekledikten sonra “taskhostXX.exe” (buradaki XX rastgele belirlenen ASCII karakterlerdir) adıyla 3 dosya içerisine kendini 3 kez kopyalıyor. 

Bu kopyalar kendi içlerinde bulunan sabit iletişim bilgilerini kullanarak 8000 ve 8080 portları üzerinden komuta sunucularıyla iletişim kurmaktadır. Önceden belirlenmiş IP adreslerden birine ulaşamazsa bir sonrakini deniyor. 

Komuta sunucularından hiç birine bağlanamazsa “cmd.exe/c net stop MSExchengeIS /y” komutunu çalıştırıp zararlının 2 saat uyumasını sağlıyor. 2 saatin sonunda bilgisayar yeniden başlatılıyor. 

Zararlı daha sonra “usbdrv3_32bit.sys” ve “usbdrv3_64bit.sys” sistem dosyalarını igfxtrayex.exe’nin 0X81 ve 0X83 bölümlerinden indiriliyor. Zararlı yazılım Windows 2000, XP, 2003, Vista ve 2008 (32 bit) için ticari olarak satılan bir yazılıma ait olan bu .sys dosyalarını kullanarak dosyalara ve disk alanlarına erişip okuma/yazma işlemlerini gerçekleştiriyor.

“Igfxtrayex.exe” bu .sys dosyalarını kullanarak MBR kayıtlarının üzerine veri yazıyor.

Zararlı kodun çalıştığı dizin;

%SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Startup\[THREAT FILE NAME] 

Bağlantı yaptığı C&C IP Adresleri;

  • 203.131.222.102 on TCP port 443
  • 208.105.226.235 on TCP port 443

 Zararlı kodun yaptığı işlemler;

  • Dosyaları silmek
  • MBR silmek
  • Dosyaların  zaman damgasını değiştirmek
  • cmd.exe aracılığı ile komutlar çalıştırmak
  • Processler oluşturmak
  • Çalışan processleri listelemek
  • Processleri sonlandırmak
  • Sistem bilgisini almak 

İlgili zararlı koddan etkilenmemek için C&C ip adreslerine erişimleri engelleyiniz. Antivirus yazılımlarınızı güncel duruma getiriniz.

Kaynak: http://www.symantec.com/security_response/writeup.jsp?docid=2014-120209-5631-99

Hiç yorum yok:

Yorum Gönder