Makale yaklaşık 20 sayfa tuttuğu için buradan PDF haline ulaşabilirsiniz:  http://www.signalsec.com/publications/UseAfterFree-Exploiting.pdf

Sunumda, TTF font formatı yapısını ve bu dosya formatına uygun akıllı bir fuzzing aracını nasıl geliştirdiğimizi anlattık. Çünkü TTF dosyalarını fuzz edecekseniz , “dumb fuzzing” gibi bir seçeneğimiz malesef yoktu. Dosya formatı içinde bulunan tablo checksum değerleri gibi doğrulama mekanizmaları buna engel olmaktaydı. Sunumun sonunda ise geliştirdiğimiz fuzzer ile keşfettiğimiz güvenlik açıklarını gösterdik.

Örneğin keşfettiğimiz zero-day açıklardan biri Microsoft Office Word’ü etkiliyordu. 10 Kasım’da Microsoft’un yayınladığı patchler ile kapatıldı. Biz testlerimizi Office 2013 üzerinden yapmıştık ve zafiyeti bildirdiğimizde sadece Office 2013’ü etkilediğini biliyorduk. Ancak Microsoft’un yayınladığı bültende okuduğumuza göre, Office 2007/2010/2013/2016 sürümlerini , SharePoint Server 2010/2013 ‘ ü ve Office Web Apps Server ürünlerinin hepsini etkileyen bir Remote Code Execution zafiyetiymiş meğer. (CVE-2015-6093)

Zafiyet TTF dosya formatındaki “name” tablolarının Office Word tarafından yorumlanması esnasında oluşuyor.  Name tablosu ,  font dosyası hakkında multilingual  stringler tutmak için kullanılıyor. Bu stringler, Font dosyasının ismi, dili, copyright bilgileri vs. olabiliyor. Genel itibariyle bir name tablosu aşağı ana yapıdan oluşur;

NameRecord elementi de aşağıda gösterildiği gibi bir yapıdadır;

Keşfettiğimiz zafiyet NameID si 16 olan NameRecord ile ilişkiliydi. NameID 16 , Typographic Family name ismini belirtmek için kullanılmakta. Bu NameRecord’ın length alanında tutulan size değeri büyük bir değer olarak tanımlandığında, Word ilgili hafıza alanına çok fazla data kopyalayarak bir heap overflow zafiyetine neden olmaktaydı. Aşağıda zafiyeti tetiklemek için değiştirilen NameRecord – length değeri görülebilir;

Zafiyet keşfettiğimiz süreden itibaren 3,5 ay boyunca zero-day olarak kaldı. Microsoft Office, Adobe Reader, Adobe Flash ve çeşitli client-side uygulamalar bu tarz bilinen ve bilinmeyen bir çok güvenlik açığı barındırmaktadır. Bildiğiniz üzere client-side zero-day güvenlik açıkları son zamanlarda hedef odaklı gelişmiş siber saldırıların ilk giriş noktasını oluşturmaktadır.

Zafiyet araştırma ve exploit geliştirme alanında uzun yıllardır edindiğimiz tecrübelerle geliştirdiğimiz Zero-Day ataklara karşı CPU tabanlı bir çözüm olan TRAPMINE hakkında bilgi almak için http://www.trapmine.com adresini ziyaret edebilir ya da bizimle demo/poc için iletişime geçebilirsiniz.

Bekir KARUL, Celil Ünüver

SIGNALSEC Ltd.

Unpack işlemine geçmeden önce yukarıdaki resim bu yazılımın pack edilmiş bir yazılım olduğunu teyit etmemiz gerekiyor. Burada temel dikkat edilmesi gereken bir kaç nokta var, bunlardan başlıca önem arz edenleri import edilen fonksiyonların sayısı ve bunların LoadLibrary, GetmoduleHandle gibi fonksiyonlar olması gibi hususlardır.

Unpack işlemini gerçekleştireceğiniz yazılımı debugger ile yükledikten sonra entrypoint/base adresi kontrol etmemiz gerekiyor.

Bu aşamayı geçtiğimize göre giriş noktasına breakpoint koyarak -ki buradaki iment entrypoint adresine işaret eder- programın çalıştırılmasına devam ediyoruz.

Programın çalıştırılması işleminden sonra F10 ve p komutu verilerek kaydedici üzerindeki değişikliği gözlemleyebiliyoruz.

Buradan sonra esp gösterdiği adrese breakpoint access koyarak programın çalışmasını , bu adres read edildiğinde ise durmasını sağlıyoruz.

Bir sonraki adımın ne olacağını artık daha iyi biliyoruz ve orjinal entry point adresine daha yakınız.

Yukarıda görüldüğü gibi ikinci işaretli alan yazılımımızın orjinal entry point adresidir. Tüm aşamalar OllyDbg ile aynı olmakla birlikte bu yazıda sadece debugger olarak windbg kullanılmıştır.

Yasin SÜRER

Eğitim Tanımı

Beş günlük bu eğitim tersine mühendislik ile ilgili kapsamlı bir eğitimdir. Eğitim boyunca x86 assembly , statik ve dinamik tersine mühendislik, IDA Pro ve debugging yöntemleri anlatılmaktadır. Eğitim bir bütün olarak zararlı yazılım analizi , zafiyet / zero-day araştırma yöntemleri, fuzzing ve exploit geliştirme konularını kapsamaktadır.

Eğitimin Katkısı

Katılımcılar eğitimin sonunda, günlük hayatta karşılaştıkları şüpheli dosyaları / zararlı yazılımları nasıl analiz edip  iz sürebileceklerini,  hedef seçtikleri uygulamalarda güvenlik açığı aramayı ve exploit geliştirmeyi öğrenecektir.

Eğitmenler

Celil ÜNÜVER, Yasin SÜRER

Hedef Kitle

Bilgi Güvenliği Çalışanları, SOME / CERT birimleri,  Network / Sistem Uzmanları, Yazılım Geliştiriciler, Kamu Güvenliği Çalışanları

Eğitim İçeriği

http://www.signalsec.com/publications/reverse-engineering-bootcamp.pdf

Ücret ve Kayıt
Lütfen info@signalsec.com ‘ a mail gönderiniz.  2 Haziran’a kadar yapılan kayıtlarda %10 indirim mevcuttur.

Eğitim Yeri
Istanbul, Türkiye

TRAPMINE bazı devlet kurumlarına karşı hedefli düzenlenen bir dizi saldırıyı tespit etti. Saldırganlar tarafından hedeflenen devlet kurumları Kazakistan, Moğolistan, Vietnam, Ukrayna ve Rusya gibi ülkelerde bulunuyor.

Saldırıda kullanılan exploit’in ve zararlının hızlı bir analizinden sonra, saldırının ardındaki grubun Lurid / Enfal APT’lerinin arkasında olan grup ile aynı olduğunu tespit ettik.

Lurid / Enfal saldırılarının arkasında kim olduğu pek net değildi fakat Çin’deki bazı saldırganlar ile bağlantıları vardı. İnanıyoruz ki bu saldırı ile Kuzey Kore’deki saldırganlar arasında bazı bağlantılar var.

Saldırının arkasında kim var?

Saldırıyı analiz ettiğimizde, saldırganların belirli hedefleri seçtiğini gördük. Özellikle ulusal stratejik araştırma merkezleri ve enstitü araştırmacıları hedef alınmış. Hedeflenen araştırmacıların genellikle Kuzey Kore üzerine araştırma yaptığını da tespit ettik. Örneğin hedef alınan bazı araştırmacıların Kuzey Kore’nin ekonomi ve politikası üzerine birçok yayını olduğu görülüyor. İşte bu nedenle bu saldırının Kuzey Kore merkezli tehdit aktörleriyle ilişkili olduğunu düşünüyoruz.

Saldırı Şekli

Saldırganlar genellikle seçilen hedeflere word dökümanı eklenmiş bazı phishing(avlama) mailleri gönderiyorlar. Gönderilen döküman Microsoft Office’de CVE-2012-0158 gibi bilinen zafiyetleri sömürüyor.

Saldırıda kullanılan mail örneği.

Teknik Analiz

Exploit içerisinde bulunan shellcode xor şifrelemesinden geçirilmiş, çözmek için gereken anahtar ise “9E”. Anahtarı kullanarak hafıza üzerinde decrypt yapıp, ne yapılmaya çalışıldığını anlamak zor değil. Anladığımız kadarıyla, “xpsfiltsvc.tmp” adında bir dosya oluşturup, başlangıçta çalışması için kayıt defterine ekliyor. Bu dosyanın bir downloader olduğu aşikar.

DLL dosyasında birkaç dışa aktarma bulunuyor, XpsRegisterServer, XpsUnregisterServer, StartAddress gibi. DLL’i “XpsRegisterServer” parametresi ile rundll32.exe kullanarak çalıştırmak mümkün.

Downloader oldukça enteresan. Saldırganlar birkaç tane ilgi çekici yönteme sahip, örneğin GetProcAddress fonksiyonunu alternatif bir yoldan simüle etmek gibi. Görüldüğü üzere, LoadLibrary fonksiyonunun ardından beklediğimiz gibi GetProcAddress gelmiyor.

GetProcAddress yerine, ImageDirectoryEntrytoData yardımıyla EAT kontrolü yapıyor, bunu gerçekleştirmek için de sub_10001738 çağırılıyor.

Burada kütüphaneden çağırılacak olan fonksiyonun 3 baytı belirtiliyor. Ardından ImageDirectoryEntrytoData kullanarak bütün EAT taranıp, fonksiyon ismi eşleşene kadar karşılaştırılıyor.

Aşağıda görebileceğiniz gibi, beklenen çağrı olan GetProcAddress(wininet.dll, InternetConnectA) yapılmıyor. InternetConnectA fonksiyonunun adresini alabilmek adına, kullandıkları alt fonksiyon EAT kontolünü yaparak hangisinin 3. baytının “e”, 8. baytının “C” ve 15. baytının “A” olduğunu kontrol ediyor. Kısaca, zararlı hiçbir zaman bu fonksiyonların isimlerini string olarak saklamıyor, ve bu oldukça güzel bir bypass yöntemi.

Downloaderın asıl zararlıyı indirmek için “question.eboregi.com” adresine bağlantı kurduğu aşağıda görülüyor.

YARA Kuralı

rule Enfal_Downloader {
meta:
description = "Enfal Downloader YARA Rule"
author = "TRAPMINE"
date = "2015/05/07"
sha1 = "695f73cf0f85ebaca280e265b9acefc8967ce1cb"

strings:

$st1 = “DF64159.TMP” fullword
$st2 = “iphlpsvc.tmp” fullword
$st3 = “XpsUnregisterServer” fullword
$st4 = “XpsRegisterServer” fullword
$st5 = “{86A43R7C-F91F-4054-9076-301AC5EC03F7}” fullword

condition:
uint16(0) == 0x5A4D and all of ($st*)

}

DarbeliMatkap ile server-side uygulamalarınızı güvenlik testine tabi tutabilirsiniz. Aynı zamanda Windows, Unix vb. işletim sistemlerinin network servislerinde ya da çeşitli server-side uygulamalarda zafiyet , zero-day arayabilirsiniz.

DarbeliMatkap, Python ve Scapy modülü ile geliştirildi. Test etmek istediğiniz uygulamanın server-client arasındaki iletişimini capture ettikten sonra, PCAP dosyasını DarbeliMatkap’a vermeniz yeterli.

DarbeliMatkap, aldığı PCAP dosyasını çeşitli değerlerle fuzz edecek ve tekrardan uygulamanın çalıştığı IP’ye gönderecektir. Ne şekilde bir fuzz testi gerçekleştireceğini argümanlarla belirleyebilirsiniz. Şu an için byte-flip ve smash fuzzing methodları bulunmaktadır. Teste tabi tutacağınız uygulamalarda integer overflow, signedness error, null pointer dereference ve buffer overflow gibi zafiyetleri tespit etmesi mümkündür.

DarbeliMatkap Network Fuzzer’ı GitHub adresimizden indirip , kullanabilirsiniz:
https://github.com/SignalSEC/darbeli-matkap/

Ek olarak DarbeliMatkap’ın kullanımını ve  CVE-2012-2598 açığının DarbeliMatkap ile nasıl keşfedilebileceğini gösteren bir videoyu da sizlerle paylaşmak istiyoruz;

Bekir Karul , Celil Ünüver

Zafiyet 1 : Directory Traversal

Siemens SCADA yazılımının bir parçası olan CCDiagAgent programı, bu yazıda göreceğimiz iki zayıflığın kaynağı. Öncelikle basit olandan başlayalım, diğer zafiyet için SafeSEH ile uğraşmamız gerekecek fakat biz klasik SafeSEH Bypass yöntemleri yerine kendi bulduğumuz bir yöntemi kullanacağız. Çünkü klasik yöntemler ile burada bir bypass başarılı olmuyor. Devam edelim. Öncelikle programı çalıştırıp TcpView ile dinlenen port numaralarına baktığımızda programımızın 80 numaralı portu dinlediğini, yani buradan gelecek olan istekleri işleyeceğini görüyoruz.

Aşağıdaki python scripti kullanarak http portuna içerisinde hafızada arayıp bulabileceğimiz karakterler içeren basit bir paket gönderiyoruz.

#SignalSEC Corp. - 2014
import struct
from socket import *
host = "192.168.20.141"
port = 80
adres = (host,port)
Baglanti = socket(AF_INET,SOCK_STREAM)
Baglanti.connect(adres)
icerik = "A" * 30
mesaj = "GET /"+ icerik +" HTTP/1.0\r\n\r\n"
Baglanti.send(mesaj)
print Baglanti.recv(4096)


Program içerisinde 30 A karakteri bulunan bir GET isteği yapıyor. İsteği yaptıktan sonra WinDbg ile kodu takip edip, gönderdiğimiz içeriğin nasıl işlendiği inceliyoruz. Sonuç olarak aşağıda görüleceği üzere program gönderdiğimiz içeriği C:\Program Files\Siemens\WinCC\WinCCScope\ScopePages klasörü altında bir dosya olarak algılayıp, onun içeriğini bize vermeye çalışıyor.

Bu durum dizinler arasında “../” aracılığı ile gezinerek istediğimiz dosyayı okuyabileceğimiz “Directory Traversal” zafiyetine sebep oluyor. Bu zafiyeti sömürebilmek için son olarak Python kodumuzdaki “içerik” kısmını ../../../../../Windows/system32/drivers/etc/hosts olarak düzenleyip tekrar çalıştırdığımızda Windows’un hosts dosyasının içeriğini aşağıda görüldüğü üzere elde edebiliyoruz.

Zafiyet 2 : Buffer Overflow & SafeSEH Bypass

İkinci olarak ilk zafiyetin keşfi sırasında kullandığımız dosyada 30 karakter yerine 5000 karakter ile bir HEAD isteği gönderiyoruz. Programa baktığımızda çökme gerçekleşiyor, WinDbg ile kontrol ediyoruz.

Görüldüğü üzere 0040c1ef adresindeki mov işlemi sırasında çökme meydana geliyor.  Çökmenin ,  esas sebebi ise uygulamaya gelen HTTP isteklerinin kontrolsüz bir şekilde wsprintfA fonksiyonuna argüman olarak verilmesi;

Yazmaçlara baktığımızda EAX yazmacı üzere yazabildiğimizi görüyoruz. !exchain komutu ile SEH’in durumuna bakarsak, SEH üzerine de yazabildiğimiz görüyoruz. Bu aşamadan sonra klasik SEH tabanlı zafiyet exploiti yazarak çalışabilen bir exploit geliştirebilirsiniz. Tabi eğer SafeSEH  koruması aktif  olmasaydı. Ekip olarak SafeSEH’i geçmek için denediğimiz yöntemler başarısız oldu. İlk olarak gerekli olan pop pop ret üçlüsünü SafeSEH off olan bir dosyada aramayı denedik, fakat aşağıda görebileceğiniz üzere bütün dosyalarda SafeSEH koruması aktif durumdaydı.

Ardından gereken pop pop ret üçlüsünü bir sistem dosyasında aramayı denedik. Fakat ne yazık ki HTTP isteği gönderdiğimiz için adreslerin içerisinde bulunan “00” karakteri sonlandırıcı kötü karakter (bad char) olduğu için hafızaya yazmayı yarıda kesiyordu, bu sebeple bu yöntem de başarılı olamadı. Ardından bilinen diğer bir SafeSEH bypass yöntemini denedik. Fakat burada da karşımıza yine kötü karakter (bad char) sorunu çıktı. İhtiyacımız olan call dword ptr[esp+nn] ve türevleri instructionların bulunduğu hafıza adreslerin hepsi HTTP protokolünde kötü karakter olan 00, 20, 3d, 3f, 0a, 0d   bytelarından birini içermekteydi. Zafiyetin HTTP  üzerinden tetiklenmesi gerçekten de bizi oldukça kısıtlıyordu.  Bypass için hafızaya yazılması gereken adresleri hafızaya yazamıyorduk. Bir süre hafızada gözden kaçırmış olabileceğimiz bir adres olduğunu düşünerek aramaya devam ettik fakat bir sonuç çıkmadı.

Üç günlük bir AR-GE ve TeamViewer ile saatlerce yapılan ekip çalışmasının ardından SafeSEH’i  keşfettiğimiz başka bir yöntemle bypass edip, exploitimizi başarıyla yazabildik.  Bu yöntemi ve exploiti şu an için paylaşmayı düşünmüyoruz. Ancak zaman zaman exploit geliştiriciler tarafından sıkça kullanılan ve “application specific” bir exploiting yöntemi diyebiliriz. Aşağıda exploitimizin videosunu görebilirsiniz;

Yazar: Bekir Karul, Celil Ünüver

Çin, Tibet’in uluslararası platformlardaki bu hareketlerinden oldukça rahatsız. Özellikle yurt dışındaki Tibetli aktivistlerin ve organizasyonların faaliyetlerini izlemek için yıllardır siber saldırı yöntemlerine başvuruyor. Daha önce bildiğiniz üzere Çin, Doğu Türkistanlı aktivistleri de “Turkey Visa Form” isimli Adobe Reader Zero-day exploiti ile hedef almıştı. Çin, geçtiğimiz hafta G20 / UniteforTibet protestolarını düzenleyen Tibetli aktivistleri ise CVE-2012-0158 exploitiyle hedef aldı.

Çeşitli Tibetli kuruluşlara ve aktivistlere aşağıdaki spear-phishing emailinin gönderildiği tespit edildi. Email, UniteforTibet protestolarına destek çağrısı kılıfıyla kurbanı bir  Office dökümanını indirmeye ve çalıştırmaya yönlendiriyor;

Office Word Exploit – MD5: 2e9613daf0685d36ff77aa05db665912

Office exploiti , sisteme  RasTls isimli bir zararlı yazılım drop ediyor. Bu zararlı yazılım, daha önce Çin devletinin desteklediği bir çok hedef odaklı saldırıda kullanılan Gh0st RAT  zararlı yazılımı.

Dropped Gh0st RAT – MD5: 2b9b41b731a117576008bcc2883de643

Zararlı Yazılımın Haberleştiği C&C Sunucuları:

IP Address: 210.209.118.87:8080

SEDNIT ‘ in en son operasyonlarda kullandığı exploiti 11.11.2014 tarihinde keşfettik.  Exploit , VirusTotal’e ilk defa 2 Kasım 2014 tarihinde gönderilmiş.  Exploit hala 55 antivirüs’ün 52si tarafından tespit edilemiyor;

Antivirus Scan Results

Antivirüsleri atlatmak için uyguladıkları yöntem ise gerçekten ilginç. Bildiğiniz üzere bizim için gizliliği önemli olan Office , PDF vb. döküman dosyalarını herhangi bir parola belirleyerek  şifreleyebiliyoruz.  İşte bu örneğimizde SEDNIT ekibi hazırladıkları excel exploitini ,  şifreleyerek Antivirüs’leri atlatma yöntemini seçmişler. Dosya içeriği encrypted olduğu için , imza tabanlı çalışan güvenlik ürünlerinin bu zafiyet / exploit için çıkardığı imzalar da faydasız oluyor.

XLS (Excel) Encrypted Data

Aslında ilginç olan nokta , saldırganların hazırladıkları  Excel exploit dosyasını şifrelemeleri değil. Şifrelemek için seçtikleri parola. Eğer şifrelenmiş bir Office dökümanını açmak isterseniz , bildiğiniz üzere uygulama sizden decrypt işlemi için kullanılacak parolayı girmenizi ister. Bu dosyanın bir exploit olduğunu ve saldırı amaçlı kullanıldığını düşünürsek ,  hedef kişiden dökümanı açtığında parola girmesini beklemek pek “user-friendly” değil :]

Saldırganlar bu noktada office’in bir özelliğinden faydalanmışlar. Office’in  döküman şifreleme için sunduğu  bir test / default  parolası mevcut ; “VelvetSweatshop” .  Eğer herhangi bir dökümanın şifrelenmesi için “VelvetSweatshop” varsayılan parolası kullanılırsa,  dosya içeriği şifreleniyor.  Ancak bu dosya daha sonra açılmak istediğinde, kullanıcıdan herhangi bir parola girmesi beklenmeden , otomatik decrypt edilip uygulama tarafından açılıyor. İşte saldırganlar  hazırladıkları exploitde bu hileyi kullanarak dökümanı şifreleyip Antivirüsleri atlatıyor,  exploit dökümanının açılması ve  çalışması için kurbanın herhangi bir parola girmesi de gerekmiyor.

Breakpoints

CVE-2012-0158 exploitlerinde ,  ret adres olarak MSCOMCTL.OCX  COM kütüphanesindeki 0x27583c30 adresinin kullanıldığını daha önceki yazımızdan da biliyorduk. Bu yüzden önce normal bir excel dosyası açıp , windbg’ı excel processine attach ettik. Daha sonra MSCOMCTL.OCX modülü yüklendiğinde debuggerın break olması için  “sxe ld mscomctl” komutunu kullandık.  MSCOMCTL kütüphanesi hafıya yüklendikten sonra da ,  27583c30 adresine breakpoint’imizi koyduk.  Böylece, exploitin,  stack’deki shellcode a zıplamak için RET adres olarak kullandığı 0x27583c30 adresinde yani “jmp esp” instructionında durduk.  Bu noktadan sonra hafızadan shellcode’u dump edebiliriz;

shellcode in da stack

Shellcode birden fazla aşamadan oluşuyor.  Hem sisteme netids.dll zararlı yazılımını drop ediyor hem de kullanıcıya sahte bir excel içeriği gösterip, exploit dosyasını sistemden siliyor.

Drop edilen netids.dll , registry’e eklenerek , rundll32 üzerinden çalıştırılıyor.

netids.dll  aynı zamanda bir komuta kontrol sunucusu ile HTTP üzerinden konuşuyor.

Sonuç

Görüldüğü üzere saldırganlar her geçen gün tekniklerini geliştirmeye devam ediyor.  Antivirüs vb. imza tabanlı çözümler ise bu yöntem ve tekniklere karşı yetersiz kalıyor.  TRAPMINE  ise imza tabanlı çalışmadığı için herhangi bir güncelleme ve konfigürasyon gerekmeksizin, bu yazıda bahsettiğimiz exploiti engellemeyi başardı;

Yazarlar

Ebubekir Karul

Son zamanlarda , APT saldırılarının hedef seçtiği kurumlara ve saldırıların izine bakıldığında,   APT’yi besleyen “profesyonel ekip” in  %90 ihtimalle devlet destekli olduğu görülüyor.Devlet destekli  APT saldırıları genel anlamda hedef ülkelerin kritik kurumlarına siber istihbarat  amacı ile gerçekleştiriliyor. Rusya, Çin gibi siber güvenliğe önem veren ülkeler , siber istihbarat operasyonu düzenleyen ülkeler arasında ilk sırada yer alıyor. Bu yazımızda son günlerde , Rusya tarafından düzenlendiği düşünülen Sednit saldırılarının analizini sizlerle paylaşacağız. Sednit grubunun düzenlediği saldırılarda hedef aldığı bazı ülkeler ve kurumlar;

• - Ukrayna ve Gürcistan Bakanlıkları,
• - Çeçenistan Direnişinin Medyası KavkazCenter,
• - Çeçen Konusunda Yazan Gazeteciler,
• - NATO kurumları
• - AMAC (Ankara Military Attache Community)
• - Bazı konsolosluk ve elçilikler

Hedef kurumlara bakıldığında bu saldırılarının arkasında Rusya Devletinin olduğu tezi güçleniyor.

Sednit saldırıları bir çok APT saldırısında olduğu gibi ilk etapta hedef kişi ve kurumların ilgisini çekecek spear phishing emailleri ile başlıyor. Gönderilen bu emailler , yine hedef kişinin ilgisini çekecek bir attachment  içeriyor. Bu attachmentlar aslında zero-day ve public bir zafiyeti sömüren Word , Excel, Powerpoint exploiti oluyor.

Eğer hedef kişi maildeki DOC/RTF/XLS dosyasını açarsa,  exploit  Office yazılımındaki bir zafiyeti sömürerek  sisteme “saver.scr” isimli PE dosyasını drop edip çalıştırıyor. “saver.scr” ise  sisteme istihbarat faaliyetlerini gerçekleştirecek zararlı yazılımı (“install.exe”) bulaştırıyor. Exploit çalıştıktan sonra -genelde- Word veya Excel processi sonlanacağı için ,  saver.scr aynı zamanda  kullanıcının şüphelenmemesi için sahte bir Excel ve Word dosyası da drop edip çalıştırıyor.

Exploitin ve saver.src ‘ nin sisteme drop ettiği dosyalar

“saver.scr” nin şüphe uyandırmamak için çalıştırdığı sahte Word dosyası.

Sednit ‘ in kullandığı saldırılar genel itibariyle CVE-2012-0158  zafiyetini sömüren Office exploitleri. Bu zafiyet 30 ay önce yamanmış olmasına rağmen hala hedef odaklı saldırılarda çok sık kullanıyor.  Sednit’in Powerpoint’i hedef alan bir zero-day exploit kullandığı da görüldü.

Sednit saldırılarında kullanılan, CVE-2012-0158 buffer overflow zafiyetini sömüren exploit. Ret addres olarak 0x27583C30 kullanılmış.

Görüldüğü gibi kullanılan RET adres, MSCOMCTL kütüphanesinde “jmp esp” instructionına tekabül ediyor.

Saver.scr ‘ nin CreateFileA ile oluşturduğu dosyalar 

Saver.scr’nin oluşturulan dosyaları ShellExecute ile açılması

Sonuç

Görüldüğü üzere günümüzde artık siber saldırılar oldukça profesyonel kurgulanmakta. APT olarak tabir edilen saldırıların genel giriş noktası (infection vector) ise %99 ihtimalle client-side bir zafiyetin sömürülmesiyle, yani exploit ile gerçekleşmekte. Kullanılan client-side exploitler ise genelde Office, PDF, Flash ve Browser yazılımlarını hedef almakta. Kurumların APT saldırılara karşı kullandığı ürünler özellikle infection vector dediğimiz , sisteme giriş noktasını sağlayan exploitation aşamasını engellemede başarılı olmalı. Infection vector başarıyla engellenebilirse, APT ‘ nin diğer aşamalarının da önüne geçilmiş olur. APT ürünü seçiminde mümkünse testlerde zero-day de dahil olmak üzere çeşitli ileri seviye client-side exploitler kullanılmalı.  Metasploit ‘ den oluşturulacak exploitler ile yapılacak testler , APT ürünü seçimi için gerçekçi olmayacaktır. Çünkü saldırganlar eski (public) bir zafiyeti hedef alan bir exploit kullansalar bile, güvenlik sistemlerini atlatmak için metasploit gibi sadece payload üzerinde değil dosya formatı üzerinde de birçok değişiklik ve trick uyguluyor.

TRAPMINE  vs APT:

TRAPMINE ‘ ın bu blog yazısında bahsettiğimiz ve çeşitli güvenlik gruplarının farklı isimlerle tanıttığı (SEDNIT, Pawn Storm ve Sandworm) APT saldırıları engellemedeki başarısı üzerine bir video;