Kaspersky uzmanları LuoYu APT grubu tarafından yaratılan WinDealer kötü amaçlı yazılımını inceledi. En ilgi çekici bulgu, saldırganların man-on-the-side saldırı yönteminde uzmanlaşmış olması ve bunu hem kötü amaçlı yazılımı yaymak hem de virüslü bilgisayarları kontrol etmek için başarıyla kullanmalarıydı.
Man-on-the-side saldırısı nedir? WinDealer operatörleri tarafından nasıl kullanılır?
Man-on-the-side saldırısı, saldırganın bir şekilde iletişim kanalını kontrol ettiği ve bu sayede trafiği okuyup normal veri alışverişinin arasına rastgele mesajlar ekleyebildiği anlamına gelir.
Bir örnek verelim: Saldırganlar tamamen meşru bir yazılımın güncelleme talebine müdahale ederek güncelleme dosyasını kötü amaçlı bir dosyayla değiştiriyor. Görünüşe göre WinDealer da bu şekilde yayılıyor.
Saldırganlar benzer bir hileyle virüslü bilgisayardaki kötü amaçlı yazılıma komut gönderiyor. Kötü amaçlı yazılım, güvenlik araştırmacılarının C&C sunucusunu bulmasını zorlaştırmak için tam adresini içermiyor. Bunun yerine önceden tanımlanmış bir aralık içinden rastgele bir IP adresine erişmeye çalışıyor. Ardından saldırganlar talebe müdahale ediyor ve yanıt veriyor. WinDealer bazen olmayan adreslere de erişmeye çalışıyor, fakat man-on-the-side yöntemi sayesinde yine de bir yanıt alıyor.
Uzmanlarımıza göre bu hileyi başarılı şekilde kullanabilmek için saldırganların tüm alt ağın yönlendiricilerine sürekli erişime ya da internet sağlayıcı düzeyinde bazı gelişmiş araçlara ihtiyacı var.
WinDealer kimleri hedef alıyor?
WinDealer’ın hedeflerinin büyük çoğunluğu Çin’de bulunan yabancı diplomasi kuruluşları, akademi dünyasının üyeleri ya da savunma, lojistik ve telekomünikasyon alanlarından şirketler. Ne var ki LuoYu APT grubu bazen Avusturya, Çek Cumhuriyeti, Almanya, Hindistan, Rusya ve ABD gibi başka ülkelerdeki hedeflere de saldırıyor. Son zamanlarda diğer Doğu Asya ülkeleriyle ve bunların Çin’deki ofisleriyle de daha fazla ilgilenmeye başladılar.
WinDealer neler yapabilir?
Hem kötü amaçlı yazılımın hem de dağıtım mekanizmasının ayrıntılı teknik analizini Securelist blogundaki yazıda bulabilirsiniz. Özetlemek gerekirse WinDealer modern bir casus yazılımın işlevlerine sahip. Şunları yapabiliyor:
- Dosyaları ve dosya sistemlerini manipüle edebiliyor (dosyaları açabiliyor, yazabiliyor ve silebiliyor, dizinler ve diskler hakkında veri toplayabiliyor);
- Donanım, ağ yapılandırması, işlemler, klavye düzeni ve yüklü uygulamalar hakkında bilgi toplayabiliyor;
- Rastgele dosya indirip yükleyebiliyor;
- Rastgele komut yürütebiliyor;
- Metin dosyaları ve MS Office belgeleri içinde arama yapabiliyor;
- Ekran görüntüsü alabiliyor;
- Yerel ağı tarayabiliyor;
- Arka kapı fonksiyonunu destekliyor;
- Uygun Wi-Fi ağları hakkında veri toplayabiliyor (uzmanlarımızın bulduğu kötü amaçlı yazılım sürümlerinden en az biri bunu yapabiliyor).
Kendinizi korumanın yolları
Ne yazık ki man-on-the-side saldırılarına karşı ağ düzeyinde korunmak çok zor. Teorik olarak sürekli bir VPN bağlantısının yardımı olabiliyor, fakat bu her zaman mümkün olmuyor. Bu yüzden casus yazılım bulaşma riskini ortadan kaldırmak için internet erişimi olan tüm cihazlarda güvenilir bir güvenlik çözümü olması gerekiyor. Buna ek olarak, EDR sınıfı çözümler de anormalliklerin tespit edilmesine ve saldırıların erken aşamalarda durdurulmasına yardımcı olabiliyor.