Güney Kore sularında kim yüzüyor? ScarCruft'un Dolphin'iyle tanışın

ESET araştırmacıları, ScarCruft APT grubu tarafından kullanılan, daha önce bildirilmemiş bir arka kapıyı analiz ettiler. Dolphin adını verdiğimiz arka kapı, sürücüleri ve taşınabilir cihazları izleme ve ilgili dosyaları dışarı sızdırma, keylogging ve ekran görüntüleri alma ve tarayıcılardan kimlik bilgilerini çalma dahil olmak üzere çok çeşitli casusluk yeteneklerine sahiptir. İşlevselliği, daha az gelişmiş kötü amaçlı yazılım kullanılarak ilk güvenlik ihlalinden sonra arka kapının konuşlandırıldığı seçili hedefler için ayrılmıştır. Diğer ScarCruft araçlarıyla uyumlu olarak Dolphin, C&C iletişimi için bulut depolama hizmetlerini, özellikle Google Drive'ı kötüye kullanır.

Araştırmamız sırasında, arka kapının sürekli geliştirildiğini ve kötü amaçlı yazılım yazarlarının tespitten kaçma girişimlerini gördük. Analiz ettiğimiz önceki Dolphin sürümlerinin dikkate değer bir özelliği, büyük olasılıkla kurbanların e-posta gelen kutularına erişimi sürdürmek için kurbanların oturum açmış Google ve Gmail hesaplarının ayarlarını değiştirerek güvenliklerini düşürme yeteneğiydi.

Bu blog gönderisinde, Dolphin arka kapısının teknik bir analizini sağlıyor ve bunun daha önce belgelenmiş ScarCruft etkinliğiyle olan bağlantısını açıklıyoruz. ScarCruft'un araç setine bu yeni eklemeyle ilgili bulgularımızı toplantıda sunacağız. AVAR 2022 konferans.

ScarCruft profili

APT37 veya Reaper olarak da bilinen ScarCruft, en az 2012'den beri faaliyet gösteren bir casusluk grubudur. Öncelikle Güney Kore'ye odaklanır, ancak diğer Asya ülkeleri de hedef alınmıştır. ScarCruft, esas olarak hükümet ve askeri kuruluşlarla ve Kuzey Kore'nin çıkarlarıyla bağlantılı çeşitli sektörlerdeki şirketlerle ilgileniyor gibi görünüyor.

yunusa genel bakış

2021'de ScarCruft, Kuzey Kore'ye odaklanan bir Güney Kore çevrimiçi gazetesine bir su kuyusu saldırısı düzenledi. Saldırı, bir Internet Explorer istismarı ve BLUELIGHT adlı bir arka kapıya yol açan kabuk kodu da dahil olmak üzere birden fazla bileşenden oluşuyordu. Seslilik ve Kaspersky.

Bu raporlarda, BLUELIGHT arka kapısı, saldırının son yükü olarak tanımlandı. Ancak saldırıyı analiz ederken, ESET telemetrisi aracılığıyla, BLUELIGHT yoluyla seçilen kurbanlara konuşlandırılan ikinci, daha gelişmiş bir arka kapı keşfettik. Yürütülebilir dosyada bulunan bir PDB yolunu temel alarak bu arka kapı Dolphin adını verdik.

BLUELIGHT arka kapısı, istismardan sonra güvenliği ihlal edilmiş makinenin temel keşif ve değerlendirmesini gerçekleştirirken, Dolphin daha karmaşıktır ve yalnızca seçilen kurbanlara karşı manuel olarak konuşlandırılır. Her iki arka kapı da bir komutta belirtilen bir yoldan dosya sızdırma yeteneğine sahiptir, ancak Dolphin ayrıca aktif olarak sürücüleri arar ve ScarCruft'un ilgilendiği uzantılara sahip dosyaları otomatik olarak sızdırır.

Şekil 1, Dolphin arka kapısının yürütülmesine yol açan saldırı bileşenlerine genel bir bakış sağlar.

yunus analizi

Dolphin bileşenlerinin ve bunların yeteneklerinin analizi aşağıdaki bölümde verilmektedir.

Analiz, arka kapının bulduğumuz ilk sürümü olan 1.9'a (kodda bulunan bir diziye dayalı olarak) dayalıdır ve daha yeni sürümlerdeki değişiklikler hakkında ek bilgiler içerir. Sürüm değişikliklerinin özet bir açıklaması şu adreste bulunabilir: yunus evrimi Bölüm.

yunus yükleyici

İzleyen bölümlerde, analiz edilen saldırı senaryosunda Dolphin arka kapısının yürütülmesinden sorumlu yükleyici ve yükleyici bileşenleri açıklanmaktadır.

Bu yükleyicinin ve dağıtılan yükleyicinin Dolphin'e özel olmadığını ve daha önce diğer ScarCruft kötü amaçlı yazılımlarıyla birlikte kullanıldığının görüldüğünü belirtmekte fayda var.

Yükleyici kabuk kodu şu ana hedefleri takip eder:

• Bir Python yorumlayıcısı indirin ve dağıtın
• Yükü ile bir yükleme zinciri oluşturun ve devreye alın
• Yükleme zincirinin sürekliliğini sağlayın

Yükleyici, meşru bir Python 2.7 yorumlayıcısı içeren OneDrive'dan bir CAB dosyası indirir. CAB ambalajından çıkarılmıştır % APPDATA%ve mimariye bağlı olarak yorumlayıcı aşağıdaki dizinlerden birinde bulunur:

• %appdata%Python27(32)
• %appdata%Python27(64)

Yükleyici, yükleme zinciri bileşenleri için iki dosya yolu oluşturur. ve , biçimi ile .

rastgele seçilir

• %PROGRAM VERİSİ%
• %HALKA AÇIK%
• %APPDATA%Microsoft
• %APPDATA%MicrosoftWindows
• % YEREL APPDATA%
• %LOCALAPPDATA% Microsoft
• %LOCALAPPDATA%MicrosoftWindows

ve mevcut dosya adlarından (uzantısı olmadan) rastgele seçilir. %windir%inf*.inf ve %windir%system32*.dll.

Loader'ın 1. Adımını oluşturmak için rastgele oluşturulmuş adlarla (değişkenler, işlev) doldurulmuş bir kod şablonu kullanır. Oluşturulan örnekle şablon Şekil 2'de gösterilmiştir.

Şekil 2. Adım 1 şablonu ve oluşturulan örnek

Komut dosyası daha sonra yazılır .

Yük de dahil olmak üzere yükleme zincirinin geri kalanını içeren Adım 2 (yükleyiciye gömülü), geçerli zamandan türetilen ve şuraya yazılan bir baytlık bir XOR anahtarıyla şifrelenir: .

Yükleme zincirinin başlangıcını sürdürmek için, yükleyici bir Run kayıt defteri değeri ayarlar:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun”%appdata%Python27({32|64})pythonw.exe” “” “”

The eşleşen mevcut dosya adlarından rastgele seçilir %WINDIR%inf*.inf, atma inf eklenti.

Kurulumdan sonra yükleme zincirini başlatmak için tek seferlik zamanlanmış bir görev oluşturur.

yunus yükleyici

Dolphin yükleyici, bir Python betiği ve kabuk kodundan oluşur.

Adım 1, Python betiği, belirtilen bir dosyayı okur, içeriğinin XOR şifresini çözer ve ortaya çıkan kabuk kodunu yürütür.

Adım 2, kabuk kodu, bir ana bilgisayar işlemi oluşturur (rastgele CLI yürütülebilir %WINDIR%System32*.exe), XOR, kendi içinde taşınan diğer kabuk kodunun şifresini çözer ve onu oluşturulan sürece enjekte eder.

Adım 3, başka bir kabuk kodu, XOR, katıştırılmış bir PE dosyasının (Dolphin arka kapısı) şifresini çözer ve onu özel bir PE yükleyici kullanarak yükler ve yürütür.

yunus arka kapı

Dolphin, bilgileri toplayan ve operatörleri tarafından verilen komutları yürüten bir arka kapıdır. Arka kapı, C++ ile yazılmış normal bir Windows yürütülebilir dosyasıdır. C&C sunucusu olarak kullanılan Google Drive bulut depolaması ile iletişim kurar.

Yürütülebilir dosyada bulunan bir PDB yolunu temel alarak arka kapı Dolphin adını verdik:

D:GeliştirmeARKA KAPIDolphinx64ReleaseDolphin.pdb

Sebat

Arka kapı, yükleyicidekiyle aynı şekilde, bir kayıt Çalıştırma değeri aracılığıyla sistem her başlatıldığında yükleyicinin Adım 1'inin çalıştırıldığından emin olarak periyodik olarak kontrol eder ve kendi kalıcılığını oluşturur:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun”%appdata%Python27({32|64})pythonw.exe” “” “”

Uygulama Alanı

Bilgisayar ve arka kapı hakkında aşağıdaki temel bilgiler toplanır:

• Geçerli arka kapı yapılandırması
• Kullanıcı Adı
• bilgisayar adı
• Yerel ve harici IP adresi
• Kurulu güvenlik ürünlerinin listesi
• RAM boyutu ve kullanımı
• Hata ayıklayıcı ve diğer inceleme araçları (Wireshark gibi) için yapılan kontrolün sonucu
• OS sürümü
• Şimdiki zaman
• Kötü amaçlı yazılım sürümü

Dolphin, operatörleri tarafından verilen komutları Google Drive depolama alanından indirir ve yürütür. Yürütmeden sonra, komutların çıktısı karşıya yüklenir. Dolphin'in yeteneklerinin çoğu komutlarla kontrol edilir.

En alakalı yetenekler aşağıda açıklanmıştır.

Dosya hırsızlığı

Varsayılan olarak, Dolphin sabit olmayan tüm sürücüleri (USB'ler) arar, dizin listeleri oluşturur ve dosyaları uzantıya göre sızdırır. Bu arama, özel komutlar aracılığıyla sabit sürücülere (HDD'ler) kadar genişletilebilir.

Medyaya, belgelere, e-postalara ve sertifikalara özel aşağıdaki ilgili dosya uzantıları varsayılan yapılandırmada belirtilmiştir:

jpg, doc, xls, ppt, hwp, url, csv, pdf, show, hücre, eml, odt, rtf, nxl, amr, 3gp, m4a, txt, msg, anahtar, der, cer, docx, xlsx, pptx, pfx, mp3

Bu otomatik aramanın yanı sıra, belirli dosyalar da çıkarılabilir.

Daha yeni sürümlerde, varsayılan arama sabit sürücülere genişletildi. Belirli dosyaları alma komutu, tamamlanana kadar yapılandırmada önbelleğe alınarak/depolanarak iyileştirildi.

Taşınabilir aletler

Dolphin, Windows Portable Device (WPD) API'sini kullanarak normal sürücüler arasında akıllı telefonlar gibi taşınabilir aygıtları da arar. Dizin listeleri oluşturur ve dosyaları dışarı sızdırır. Bu işlevsellik, bulduğumuz ilk sürümde birkaç nedenden dolayı geliştiriliyor gibi görünüyordu:

• Büyük olasılıkla kurbanın bilgisayarında bulunmayan bir kullanıcı adıyla sabit kodlanmış bir yola güvenmek
• Eksik değişken başlatma - bazı değişkenlerin sıfır olarak başlatıldığı veya başlatılmadan işaretçiler olarak başvurusunun kaldırıldığı varsayılır
• Eksik uzantı filtreleme

Kod, büyük ölçüde Microsoft'un Portable Devices COM API'sine dayanmaktadır. kod örneği.

Operatörler, otomatik aramanın yanı sıra, taşınabilir cihazlardan çıkarılacak dosyaları ayrı ayrı belirleyebilir.

Daha yeni sürümlerde, bu yetenek, uzantı filtreleme eklenerek tamamlandı ve geliştirildi. Bilinmeyen nedenlerle, taşınabilir aygıtlardan belirli dosyaları alma komutu kaldırıldı.

Keylogging ve ekran görüntüleri

Dolphin, yapılandırmasında belirtilen alt dizileri içeren başlıklara sahip pencereler için tuş vuruşlarını günlüğe kaydeder. varsayılanlar krom ve interneti keşfetmek (aynen). Bu, aracılığıyla yapılır GetAsyncKeyState Tuş vuruşlarının pencere adı ve geçerli saatle birlikte günlüğe kaydedildiği API. Ekran görüntüleri ayrıca yapılandırılabilir bir aralıkta alınır; varsayılan, her 30 saniyede birdir.

Ekran görüntüleri ve keylogging varsayılan olarak etkindir ve bir komut aracılığıyla değiştirilebilir.

Kabuk kodu

Dolphin, yürütme için kabuk kodu alabilir. Kabuk kodu, kayıt defterinde aşağıdaki anahtarlardan birinin altında saklanır:

• HKCUSoftwareMicrosoftWindowsCurrentVersionTemalarKlasik
• HKCUYazılımMicrosoftOneDriveGüncelleme
• HKCUYazılımMicrosoftWindowsCurrentVersionİnternet AyarlarıHttpsYazılımMicrosoftInternet ExplorerZone (bir olarak iki alt anahtar, muhtemelen bir kodlama hatası)

Yerel olarak veya oluşturulan ve enjekte edilen belirli bir ayrı işlemde yürütülebilir.

Daha yeni sürümlerde, kabuk kodu kayıt defteri yerine dosyalarda saklanır ve depolanan kabuk kodu Dolphin'in başlangıcında yüklenir ve yürütülür, bu sürüm 1.9'da (analiz ettiğimiz orijinal sürüm) durum böyle değildi.

Kabuk komutları

Dolphin, kabuk komutlarını yürütebilir; bu, aracılığıyla yapılır açmak API ve çıktıları alınır.

Kimlik bilgilerini çalmak

Dolphin, tarayıcılardan kimlik bilgilerini kaydedilmiş şifreler ve tanımlama bilgileri biçiminde alabilir. Aşağıdaki tarayıcılar desteklenir:

• krom
• kenar
• Internet Explorer

2.2 sürümünde, muhtemelen tespit edilmekten kaçınmak için bu yetenek kaldırıldı. Daha sonra 3.0 sürümünde, ancak farklı bir biçimde geri yüklendi. Artık C&C'den kabuk kodu biçiminde dinamik olarak alınmaktadır.

Google hesabı

Dolphin'in komutlarından bir diğeri, o anda oturum açmış olan Google hesabının ayarlarını değiştirerek güvenliğini varsayılan ayarlara göre düşürür. Oturum açmış hesabın mevcut tanımlama bilgisini tarayıcıdan çalar ve ayarları değiştiren istekler oluşturur.

İlk olarak, aşağıdakilere bir HTTP POST isteği göndererek IMAP protokolü aracılığıyla Gmail'e erişim sağlar:

• https://mail.google.com/mail/u/0/?ik=&at=&view=up&act=prefs

Ardından, bir HTTP POST aracılığıyla belgelenmemiş bir RPC isteği göndererek "daha az güvenli uygulama erişimini" etkinleştirir:

• https://myaccount.google.com/_/AccountSettingsUi/data/batchexecute

Bu değişikliklere arka kapıda "gök gürültüsü erişimi" adı verilir ve muhtemelen Thunderbird e-posta istemcisine atıfta bulunur. Kurbanlarının gelen kutularına IMAP aracılığıyla üçüncü taraf bir istemciyle erişmek, muhtemelen ScarCruft operatörlerinin kimlik bilgilerini çaldıktan sonra kurbanların e-postalarına erişimi sürdürmelerine yardımcı olur; bu, Google'ın şüpheli giriş denemelerini tespit etmesi nedeniyle kendi başlarına yeterli olmayabilir.

Bu özellik, arka kapının 1.9 ve 2.0 sürümlerinde bulundu; 2.2 veya 3.0 sürümlerinde mevcut değildir.

Veri hazırlama

Dolphin, verileri yüklemeden önce şifreli ZIP arşivlerinde hazırlayarak Google Drive depolama alanına aktarır. Arka kapı, aynı dosyanın birden çok kez yüklenmesini önlemek için MD5 karmaları biçiminde bir dosya listesi de tutar. Bu liste özel bir komutla sıfırlanabilir.

yapılandırma

Arka kapı, ilk çalıştırmada kalıcı olan ve sonraki çalıştırmalarda yüklenen bir başlangıç ​​varsayılan yapılandırması içerir. Dosyada saklanır %ProgramData%.inf, Burada eşleşen mevcut dosya adlarından rastgele seçilir %windir%inf*.inf. İçerik, dosyanın başında saklanan rastgele 16 baytlık anahtarlar ve IV'ler ile AES CBC kullanılarak şifrelenir. Yapılandırma, hash benzeri anahtarlarla JSON biçimini kullanır. Şifresi çözülmüş bir yapılandırma örneği Şekil 3'te gösterilmiştir.

Şekil 3. Dolphin arka kapı yapılandırması

Yapılandırma, komutlar aracılığıyla değiştirilebilir. Diğerlerinin yanı sıra aşağıdakileri içerir:

• şifreleme anahtarları
• Google Drive API erişimi için kimlik bilgileri
• Keylog için pencere başlıkları
• Çıkarılacak dosya uzantılarının listesi

yunus evrimi

Nisan 2021'de Dolphin'in ilk keşfinden bu yana, arka kapının, tehdit aktörlerinin arka kapının yeteneklerini geliştirdiği ve tespit edilmekten kaçma girişimleri yaptığı birden çok versiyonunu gözlemledik. Şekil 4, görülen versiyonları özetlemektedir; sürüm değişikliklerinin daha ayrıntılı bir açıklaması aşağıda verilmiştir.

Şekil 4. Yunus evrimi zaman çizelgesi

Kasım 2021 – sürüm 2.0

Sürüm 2.0, Nisan 2021'de bulunan sürümde aşağıdaki değişiklikleri getirdi:

• Statik içe aktarmalar yerine şüpheli API'lerin dinamik olarak çözülmesi (örneğin GetAsyncKeyState) katma
• Kabuk kodu yeteneği tamamlandı ve geliştirildi
  • Kayıt yerine dosyalarda saklanan kalıcı kabuk kodu
  • Dolphin başlangıcında yüklenen ve yürütülen kalıcı kabuk kodu (önceden eksikti)
• Taşınabilir cihaz dosya hırsızlığı özelliği tamamlandı ve iyileştirildi
  • Uzantılara göre sızma eklendi
  • Dahili belleğin ve SD kartların (cihaz kimliğinden) tanınması eklendi
  • Dosyaları taşınabilir aygıtlardan etkili bir şekilde NOP olarak alma komutu
• Aygıt/sürücü algılama ve dosya hırsızlığı iyileştirildi
  • Dolphin artık koşulsuz olarak dizin listeleri oluşturuyor ve tüm sürücüler ve aygıtlar (sabit sürücüler, çıkarılabilir sürücüler, taşınabilir aygıtlar) için her 30 dakikada bir uzantıya göre dosya sızdırıyor. Önceden, yalnızca çıkarılabilir sürücüler içindi; sabit sürücüler varsayılan olarak devre dışı bırakıldı ve taşınabilir aygıtlara erişim için kullanılan kod hatalı ve bozuktu.

Aralık 2021 – sürüm 2.2

Sürüm 2.2'de sunulan değişiklikler, esas olarak tespitten kaçınmaya odaklandı. Kimlik bilgileri çalma yeteneği ve bununla ilgili komutlar - kimlik bilgileri çalma ve Google hesabı komutları - kaldırıldı. Bu sürümdeki dizilerin çoğu base64 kodludur.

Ocak 2022 – sürüm 3.0

3.0 sürümünde, kod yeniden düzenlendi ve sınıflar, yetenekler değişmeden kalacak şekilde yeniden adlandırıldı. Base64 ile kodlanmış dizeler, bu sürümde yine düz metindi. Aşağıdaki ek değişiklikleri gözlemledik:

• Farklı bir biçimde geri yüklenen kimlik bilgilerini çalma komutu; artık C&C'den kabuk kodunu çalıştırıyor
• Dosyaları taşınabilir aygıtlardan tamamen kaldırma komutu
• Sürücülerden dosya alma komutu artık tamamlanana kadar yapılandırmada önbelleğe alınır/depolanır. Kesilirse (örneğin bilgisayarın kapanmasıyla), bir sonraki çalıştırmada yapılır. Bu, komut verildiğinde bağlı olmayabilen çıkarılabilir sürücüler için de kullanışlıdır.
• İnternet bağlantısı kontrolü eklendi (https://www.microsoft.com); çevrimdışıysa hiçbir kötü amaçlı kod yürütülmez

2.2 ve 3.0 sürümleri arasındaki farklar, özellikle dizi kodlamasındaki tutarsızlık, sürümlerin farklı kişiler tarafından paralel olarak geliştirilme olasılığını düşündürmektedir.

Sonuç

Dolphin, ScarCruft'un bulut depolama hizmetlerini kötüye kullanan kapsamlı arka kapı cephaneliğine bir başka ektir. Seçilen hedeflere dağıtıldıktan sonra, güvenliği ihlal edilmiş sistemlerin sürücülerinde ilginç dosyalar arar ve bunları Google Drive'a sızdırır. Arka kapının önceki sürümlerinde bulunan sıra dışı bir yetenek, muhtemelen tehdit aktörlerinin hesap erişimini sürdürmek amacıyla kurbanların Google ve Gmail hesaplarının ayarlarını güvenliklerini düşürecek şekilde değiştirebilme yeteneğidir. Dolphin arka kapısının birden fazla versiyonunu analiz ederken, sürekli geliştirme ve tespitten kaçma girişimlerini gördük.

IOCs

MITRE ATT&CK teknikleri

Bu tablo kullanılarak yapılmıştır sürümü 12 MITRE ATT&CK çerçevesinin