CTI_Arastirmalarim

APT34 C2 Zararlı Yazılımı IoC Çalışması

Ali Can Gönüllü | Siber Güvenlik Uzmanı
alicangonullu[at]yahoo.com
Merhabalar,
Bu yazımda sizlerle birlikte APT34 adlı ransomware ve korunma yöntemlerini inceleyeceğiz.
Yaptığımız açık kaynak taramalarında taramasını yaptığımız virüs OilRig (APT34) lakaplı İran tarafından desteklenen bir zararlı yazılım grubunun ürünü olduğunu öğrendik.
NOT : Bu yazıyı yazarken grubun İsrail, Lübnan ve BAE ülkelerini hedef aldığını öğrendik.

Disclaimer | Yasal Uyarı

Bu blog yazısında sağlanan bilgiler yalnızca eğitim ve bilgilendirme amaçlıdır. Bilgisayar korsanlığı, siber saldırılar veya bilgisayar sistemlerine, ağlara veya verilere herhangi bir şekilde yetkisiz erişim de dahil olmak üzere herhangi bir yasa dışı veya etik olmayan faaliyeti teşvik etme veya reklam etme amacı taşımaz.

Disclaimer: The information provided in this blog post is intended for educational and informational purposes only. It is not intended to encourage or promote any illegal or unethical activities, including hacking, cyberattacks, or any form of unauthorized access to computer systems, networks or data.

Bulaşma Şekli

Zararlı yazılım DOC formatında sisteme bulaşıp Macro denilen VBNet kodlarıyla çalışmaktadır.

Çalışma Mantığı

Öncelikle DOC dosyasını çeşitli yazılımlarla açıyoruz.



DOC uzantılı dosyayı açtığımıza bizi şu tarz bir görüntü karşılıyor. Dosya bilgilerine buradan ulaşabilirsiniz.



Yazılımlarla içerisini açtığımızda ise Makroları gayet rahat görebilmekteyiz. Şimdi yapmamız gereken ise makro kodlarını açıp gittiği yollara bakmak. Makro kodlarına bakarak dosyanın oluşturulma tarihini öğreniyoruz.



Fakat incelemeye devam ederken önemli makro kodlarının şifreli olduğunu görüyoruz.



Ve buradan sonra canlı test ortamına sokuyoruz ve tüm aktivitelerini kaydetmeye başlıyoruz. Network hareketlerini dinlesekte herhangi bir network hareketine rastlamıyoruz. Muhtemelen içeriden port veya program başlatıyor veya komut çalıştırıyor diyerek komut incelemeye başlıyoruz. Programı çalıştırdığımız anda dosya içeriği de değişmekte ve şu hale gelmektedir



Ardından programı başlattığımız anda "C:\ProgramData\Office356\Menorah.exe" konumunda bir dosyayı çağırdığını görüyoruz. Menorah.EXE adlı dosyanın öncelikle oluşturulma tarihine baktığımızda 2022 tarihini görüyoruz. Muhtemelen DOC dosyası sadece bir Loader işlevi görmekte



Menorah.EXE'nin header bilgilerine baktığımızda .NET ile yazıldığını görüyoruz ve bu da yazılımın kaynak kodlarının çeşitli programlarla açılabileceğini gösteriyor.



Kodlarını incelerken çalıştırıldıktan sonra "tecforsc-001-site1.gtempurl[.]com/ads.asp" adresinin "d" GET değerine çeşitli veriler gönderdiğini görüyoruz. Ardından bunun bir C2 server olduğunu ve bu server üzerinden komut gönderildiğini yine kodlarından anlıyoruz.

Sonuç

Teknolojinin gittikçe artmasıyla bu tarz DOC formatında gerçekleşen saldırılar artmaktadır. Bu sebeple alınabilecek önlemler ise,

• "tecforsc-001-site1.gtempurl[.]com" web sitelerini engellemek ve sürekli web engel listelerini güncel tutmaktır.
• Özellikle işyerlerinde public dediğimiz herkesin bağlanabildiği alanlarda bu korumalar arttırılmalıdır.

Yazar | Author

Ali Can GÖNÜLLÜ
Siber Güvenlik Uzmanı
alicangonullu[at]yahoo.com

This site is open source. Improve this page.