2021 yılında Lazarus Grubu, güvenlik araştırmacılarını virüs bulaştırılmış Visual Studio projeleriyle hedef aldı. 2024 yılında ise typosquatting yöntemini kullanarak PyPI'ye kötü amaçlı paketler yerleştirdiler. Ve en azından Mart 2025'ten beri devam eden bir kampanyada grup, havacılık ve savunma kuruluşlarını hedef alarak Edge Group, IIT Kanpur ve Airbus'ı taklit eden spear phishing tuzaklarına yöneldi.
Dağıtım paketi değişse de temel strateji aynı kalır. Grubun Comebacker arka kapısının her sürümü aynı giriş noktasına dayanır: bir kişinin açtığı ve güvenilir bulduğu bir dosya. ENKI tarafından yapılan son analiz, bu en yeni Comebacker varyantını ayrıntılı olarak ele alıyor ve önemli bir teknik gelişmeyi ortaya koyuyor.
Dropper artık önceki sürümlerde bulunan RC4 veya HC256 şifreleme algoritmaları yerine özel bir XOR/bit değiştirme algoritması kullanıyor. Yükleyici aşamaları ChaCha20 şifrelemesine geçmiştir. Ayrıca, komuta ve kontrol trafiği ilk kez AES-128-CBC ile şifrelenerek, önceki varyantların yakalanmasını kolaylaştıran düz metin iletişimi uygulaması terk edilmiştir.
Bu değişikliklerin her biri, imza tabanlı tespit sistemlerini atlatmak üzere tasarlanmıştır ve zararlı dosya kullanıcıya hiç ulaşmazsa, bunların hiçbirinin bir önemi kalmaz. Gizli programlar, ITAR kapsamındaki veriler veya görev açısından kritik OT sistemleri ile çalışan kuruluşlar için, tek bir iş istasyonunun güvenliğinin ihlal edilmesi, bir tedarik zinciri olayına yol açabilir.
Bu makale, Comebacker bulaşma zincirinin nasıl işlediğini, geleneksel savunma sistemlerinin bu tehdit karşısında neden yetersiz kaldığını ve e-posta ağ geçidi, çıkarılabilir ortam sınırları ile bunların arasındaki tüm giriş noktalarında uygulanan, önleme odaklı dosya güvenliği yaklaşımının, yükün ne kadar karmaşık hale getirilmiş olursa olsun bu tehdidi nasıl etkisiz hale getirdiğini incelemektedir.
Dosya Kaynaklı Saldırılar Çevre Savunmalarını Nasıl Aşıyor?
Lazarus Grubu gibi ulus devlet aktörleri, havacılık ve savunma kuruluşlarının ağlar arasında dosya aktarımı için bu kanallara güvenmesi nedeniyle e-posta ve çıkarılabilir depolama ortamlarını istismar ediyor. Comebacker'ı tespit etmeyi zorlaştıran şey, dosyanın teslim edilmesinden sonra yaşanan süreçtir. İlk bakışta belge meşru görünür, ancak açıldığında gizli kalmak üzere tasarlanmış çok aşamalı bir yürütme zincirini tetikler.
Comebacker tarzı kampanyaların başlıca giriş noktaları
E-posta:
Tedarikçi sözleşmeleri, proje güncellemeleri veya faturalar kılığına girmiş, kötü amaçlı ekler. ENKI, en azından Mart 2025’ten beri devam eden bir kampanyada Edge Group, IIT Kanpur ve Airbus’ı taklit eden dört adet .docx formatında tuzak belge tespit etti.
Harici ortamlar:
Yazılım güncellemeleri veya bakım döngüleri gibi rutin işlemler sırasında mühendislik veya üretim ağlarına getirilen virüs bulaşmış USB veya taşınabilir diskler.
Bir VBA makrosu, özel bir XOR/bit değiştirme algoritması kullanarak, inandırıcı bir tuzak belgeyle birlikte bir yükleyiciyi şifresini çözer. Yükleyici, ChaCha20 kullanarak birden fazla şifreli aşamadan geçer. Son arka kapı tamamen bellekte çalışır ve uç nokta araçlarının bulabileceği hiçbir iz bırakmaz.
Arka kapı sunucuya bağlantı kurduğunda, tüm komuta ve kontrol trafiği AES-128-CBC ile şifrelenmiş olur ve normal HTTPS trafiğinin arasına karışır. Geleneksel çevre güvenlik araçları, bir kullanıcının bir belgeyi açtığını ve şifreli web trafiği oluşturduğunu görür; ancak bu akışta hiçbir unsur bir uyarıyı tetiklemez.
Lazarus Grubu, farklı şifreleme uygulamalarına sahip paralel varyantlar kullanıyor; bir zincirde ChaCha20, diğerinde HC256, ancak her ikisi de aynı arka kapı işlevselliğine sahip. Bir tanesi için yazılmış bir tespit imzası, diğerini tespit edemeyecektir. Bu, yalnızca tespit yöntemlerine güvenmenin temel sorunudur. Saldırganlar, bu tespitleri atlatmak için yüklerini özel olarak tasarlıyorlar.
Kötü Amaçlı Yazılımlar Çalışmadan Önce Etkisiz Hale Getirme
Peki, tespit edilmekten kaçınmak için özel olarak tasarlanmış bir tehdit karşısında ne yapmalı? Bir seçenek, daha fazla tespit katmanı, daha fazla motor, daha fazla imza ve daha fazla davranış kuralı eklemektir. Bu bir ölçüde yardımcı olur, ancak saldırganlar zaten bu modeli atlatmak için kötü amaçlı yazılımlar tasarlamaktadır. Diğer seçenek ise, bir dosyayı tehlikeli kılan unsurları ortadan kaldırmaya başlamaktır. İşte OPSWATteknolojilerinin ardındaki işleyiş mantığı budur.
Ortamımıza e-posta ya da taşınabilir ortamlar yoluyla giren her dosya, öncelikle Metascan™ Multiscanning tarafından işlenir. Dosya, imza tabanlı algılama ile sezgisel yöntemleri ve makine öğrenimini birleştiren 30’dan fazla kötü amaçlı yazılım önleme motorunda paralel olarak taranır. Tek bir motorun yeni bir Comebacker varyantını gözden kaçırma ihtimali varken, 30’dan fazla motorun hepsinin bunu gözden kaçırma olasılığı önemli ölçüde azalır.
Ancak algılama kapsamı, ne kadar geniş olursa olsun, yine de kötü amaçlı bir öğenin tespit edilmesine bağlıdır. Deep CDR™ Teknolojisi, yükü tanımlamaya çalışmaz. Bunun yerine, yükün çalıştırılmasına olanak tanıyan koşulları ortadan kaldırır. Bu önleme katmanı, dosyalar içindeki makrolar, komut dosyaları, gömülü yürütülebilir dosyalar ve gizli nesneler gibi aktif öğeleri kaldırır. Ardından, belgenin temiz ve kullanılabilir bir sürümünü yeniden oluşturur. Bu süreç 200'den fazla dosya türünde çalışır ve milisaniyeler içinde tamamlanır.
Comebacker tarzı bir saldırıda Deep CDR™ Teknolojisi
Deep CDR™ Teknolojisi Öncesi | Deep CDR™ Teknolojisi Sonrası |
|---|---|
| VBA makroları yükleyici zincirini tetikler | Makrolar kaldırıldı |
| Gömülü yürütülebilir dosya, çok aşamalı bir yük bırakır | Yürütülebilir dosya kaldırıldı |
| Yanıltıcı belge içeriği (metin, biçimlendirme, resimler) | Yürütülebilir dosya kaldırıldı |
Bu teknolojinin yardımıyla tehlikeli unsurlar ortadan kaldırılır ve kullanılabilir içerik korunur. Yükleyici, şifreleme aşamaları ve bellek içi arka kapı çalıştırılamaz hale gelir. Ancak her dosya temizlenemez. Yürütülebilir dosyalar, yükleyiciler ve belirli düzenlemelere tabi belgeler, özellikle havacılık, savunma ve kritik altyapı ortamlarında bozulmadan kalmalıdır. Bu dosyalar için farklı bir tür inceleme gereklidir.
Temizlenemeyen Kaçak Dosya Tabanlı Tehditlerin Tespiti
Değiştirilmeden geçmesi gereken dosyalar için MetaDefender Adaptive Sandbox , emülasyon tabanlı tehdit algılama yoluyla davranışsal analizSandbox . İmza tabanlı yöntemlere veya statik incelemeye dayanmak yerine, dosyanın çalıştırılması sırasında nasıl davrandığını gözlemleyerek gizli kötü amaçlı faaliyetleri ortaya çıkarır.
ENKI'nin analizine göre Lazarus Grubu, sanal makineleri tespit edip atlatmak üzere tasarlanmış gecikmeli etkinleştirme ve kaçırma tekniklerini kullanarak kötü amaçlı yazılımlarına ortam farkındalığı özelliği ekliyor. Tam bir sanal makine başlatmak yerine, Adaptive Sandbox , komut düzeyinde yürütmeyi taklit ederek, kötü amaçlı yazılımın tespit edebileceği izler bırakmadan analiz yapılmasına olanak tanır.
VM tabanlı ve emülasyon tabanlı sanal ortamlar
VM tabanlı sanal ortam | Emülasyon Tabanlı Adaptive Sandbox |
|---|---|
| Anti-VM denetimleriyle tespit edilebilir | Yüksek hacimli ortamlarda sınırlı işleme kapasitesi |
| Kaynak gerektiren ve daha uzun süren kararlar | kararlarını saniyeler içinde, 10 kata kadar daha verimli bir şekilde |
| Kaynak gerektiren ve daha uzun süren kararlar | Manuel ayarlamaya gerek kalmadan anti-VM, anti-hata ayıklama ve zamana dayalı kaçış yöntemlerini etkisiz hale getirir |
| Yüksek hacimli ortamlarda sınırlı işleme kapasitesi | Yüksek verimli dosya analizi için tasarlanmıştır |
Analiz sırasında Adaptive Sandbox , dosya sistemi etkinliği, işlem enjeksiyon girişimleri, kayıt defteri değişiklikleri ve ağ iletişimi gibi çalışma zamanı davranışlarınıSandbox . Comebacker’ın yükleyici zincirinin oluşturduğu kalıplar şunlardır: Başlangıç klasöründeki kalıcılık kısayolu, rundll32 komutunun çalıştırılması ve şifreli C2 sinyal iletişimi.
Adaptive Sandbox katmanlı yükleri açar ve imza tabanlı araçların asla tespit edemediği gizli IOC’leri ortaya çıkarır. Sonuçlar, MITRE ATT&CK teknikleriyle eşleştirilir ve eyleme geçirilebilir tehdit istihbaratı olarak platforma geri beslenir; böylece daha hızlı kararlar alınmasını ve daha etkili tehdit avcılığı yapılmasını sağlar.
Birleştirilmiş Algılama ile "Ağrı Piramidi"ne Yaklaşım
Comebacker'ın evrimi, doğrudan "Acı Piramidi"ne karşılık geliyor. Bu çerçeve, tehdit göstergelerini saldırganın bunları değiştirmesinin ne kadar maliyetli olduğuna göre sırlıyor; en altta yer alan hash'lerden (değiştirmesi çok kolay olanlar) en üstte yer alan TTP'lere (yeniden yazmak için ciddi bir geliştirme çabası gerektirenler) kadar. Lazarus Grubu, 2021'den bu yana bilinen tüm Comebacker kampanyalarında bu "değiştirmesi kolay" göstergeleri kullanmıştır.
Comebacker, Acı Piramidi'ne eşleştirildi
Acı Piramidi Seviyesi | Geri Dönüş Örneği |
|---|---|
| Hash Değerleri | Her bir dropper ve yükleyici aşaması için farklı SHA256 hash değerleri |
| IP Adresleri / Alan Adları | Kampanyalar arasında dönüşümlü olarak kullanılan C2 etki alanları: hiremployee[.]com, birancearea[.]com. office-theme[.]com üzerinde barındırılan hazırlık altyapısı |
| Ağ/Ana Bilgisayar Öğeleri | Daha önceki düz metin iletişimin yerini alan AES-128-CBC şifreli C2 trafiği; kalıcılık için kısayolların Başlangıç klasörüne yazılması |
| Araçlar | Yükleyici aşamaları boyunca RC4'ten HC256'ya ve ChaCha20'ye şifreleme ilerlemesi; dropper'da özel XOR/bit değiştirme algoritması |
| TTP'ler | Silah olarak kullanılan belgelerle yapılan spear phishing (T1566.001), yansıtmalı kod yükleme (T1620), şifreli C2 sinyal gönderme (T1573.001), rundll32 aracılığıyla sistem ikili dosyalarının proxy üzerinden çalıştırılması (T1218.011) |
Alt sıraları değiştirmek Lazarus Grubu'na muhtemelen saatler ya da günler sürer; yükleyici mimarisini ve yürütme kalıplarını yeniden yazmak ise çok daha fazla zaman alır. Yalnızca alt sıralara odaklanan bir tespit stratejisi, grubun sizin oynamasını istediği oyunu oynamak anlamına gelir. Bir ChaCha20 anahtarı için her imza yazdığınızda, onlar bir tane daha üretir.
Sandbox tan Birleştirilmiş Algılama Sandbox
Önceki bölümde, Adaptive Sandbox Comebacker'ın çalışma zamanı davranışını nasılSandbox gösterilmişti. MetaDefender , bu özelliği tüm "Pyramid of Pain"i kapsayan tek bir iş akışına genişleterek, her dosyayı giderek derinleşen dört katman üzerinden işliyor.
1. Katman, Tehdit İtibarı: Dosya hash değerlerini, IP adreslerini ve etki alanlarını 50 milyardan fazla göstergeyle karşılaştırır. Bilinen Comebacker altyapısı ve daha önce tespit edilmiş örnekler anında engellenir.
2. Katman, Dinamik Analiz: Bilinmeyen örnekleri Adaptive Sandbox komut düzeyinde emülasyonuna yönlendirerek çok aşamalı yükleyici zincirlerini, şifre çözme rutinlerini ve rundll32 çalıştırmalarını ortaya çıkarır. Yeni keşfedilen IOC’ler otomatik olarak 1. Katmana geri beslenir ve sonraki dosyaların algılanmasını güçlendirir.
3. Katman, Tehdit Puanlaması: Davranışsal sinyalleri birbiriyle ilişkilendirir ve kalıcılık mekanizmaları, işlem enjeksiyonu ve C2 faaliyetlerini değerlendirerek güvenilirlik temelli bir risk puanı atar. Comebacker’ın C2 sunucularına gönderilen şifreli sinyaller, kullanılan şifreleme algoritmasından bağımsız olarak bu aşamada tespit edilir.
4. Katman, Tehdit Avcılığı: Şifreleme şeması tamamen değişmiş olsa da, 100 milyondan fazla analiz edilmiş örnek üzerinde makine öğrenimi tabanlı benzerlik araması kullanarak 2025 varyantını 2021 ve 2024 Comebacker kampanyalarıyla ilişkilendirir. Lazarus Grubu’nu yükleyici mimarisini ve yürütme modelini terk etmeye zorlamak, yeni dosya hash’lerini takip etmekten temelde farklı bir baskı türüdür.
Predictive Alin AI ile Yürütme Öncesi Zeka Ekleme
Her dosyanın kapsamlı bir davranış analizine tabi tutulması gerekmez. Yoğun iş yükü olan ortamlarda, bilinmeyen her dosyayı sanal alana göndermek sistemin işleme kapasitesini zorlar. OPSWAT Predictive Alin AI çözümü, bu sorunu yürütme öncesi bir istihbarat katmanı olarak ele alır.
Predictive Alin AI, makine öğreniminden yararlanarak yürütülebilir dosyaların yapısal ve davranışsal göstergelerini çalıştırmadan analiz eder. Sonuçlar, P99 değerinde 100 milisaniyenin altında bir sürede elde edilir. İlk testler, yürütülebilir dosyalarda %90 tespit oranı ve %0,1 yanlış pozitif oranı ortaya koymaktadır. Motor, çevrimiçi veya çevrimdışı olarak aynı performansta çalışır; bu sayede, Comebacker tarzı tehditlerin en ciddi sonuçlara yol açtığı hava boşluklu ortamlarda bile kullanıma hazırdır.
2 Temel İlgili Yetenek
- Sıfırıncı gün tehdidi tahmini: Tahmine dayalı Alin AI, imza tabanlı motorların gözden kaçırdığı, daha önce görülmemiş tehditleri tespit eder ve yüksek riskli yürütülebilir dosya formatlarını (PE, ELF, Mach-O ve PDF) çalıştırılmadan önce değerlendirir. Dosya türü kapsamının genişletilmesi yol haritasında yer almaktadır.
- Sanal ortam yükünün azaltılması: Motorun yüksek güvenilirlikle temizlediği dosyalar, sanal ortam analizi yapılmadan işleme alınır. Motorun işaretlediği dosyalar ise MetaDefender dört katmanlı tam iş akışında öncelikli olarak ele alınır; böylece, gerçekten derin davranışsal incelemeye ihtiyaç duyan dosyalar için sanal ortam kapasitesi korunur.
Tehditler Gelen Kutusuna Ulaşmadan Önce E-posta Ağ Geçidini Güvenli Hale Getirmek
Comebacker, e-posta yoluyla sisteme sızar. Yem niteliğindeki belgeler, alıcının gelen kutusuna düşüp açılmak üzere tasarlanmıştır. Zararlı ek hiç ulaşmazsa, bulaşma zinciri de asla başlamaz. MetaDefender Cloud Security™, Microsoft 365 ve Google Workspace ile entegre olarak, mesajlar kullanıcılara ulaşmadan önce bunları tarar ve temizler. Posta akışıyla uyumlu bir şekilde çalışır; bu da tehditlerin teslim edilmeden önce durdurulduğu anlamına gelir.
3 Katmanlı Koruma
- Ekler: Dosyalar, Metascan™ Multiscanning Deep CDR™ Teknolojisi ile işlenir. VBA makroları içeren bir Comebacker .docx dosyası, alıcı tarafından görülmeden önce temizlenir ve yeniden oluşturulur.
- Bağlantılar: URL'ler analiz edilip yeniden yazılır; böylece kimlik avı sayfaları ve komuta-kontrol yönlendirmeleri engellenir.
- Politika uygulaması: Şüpheli mesajlar, kurumsal kurallara göre otomatik olarak karantinaya alınır, temizlenir veya üst düzeye iletilir.
Güvenlik ekipleri için bu durumun etkisi hemen hissedilir. Kullanıcılara ulaşan kötü niyetli e-postaların sayısının azalması, daha az uyarı, daha az soruşturma ve sorun giderme için harcanan zamanın azalması anlamına gelir. Bu da ekiplerin önceliği daha yüksek tehditlere odaklanmalarını sağlar.
Çıkarılabilir Media Hava Boşluklu Ağların Korunması
USB ve taşınabilir diskler, harici sistemler ile kontrol ağları arasında bir köprü görevi görür ve aktarılan her dosyayı potansiyel bir giriş noktası haline getirir. MetaDefender ve MetaDefender Media , bu sınırlarda güvenli kontrol noktaları oluşturur.
Çıkarılabilir ortamlardaki herhangi bir dosya hassas bir ortama girmeden önce, Metascan™ Multiscanning Deep CDR™ Teknolojisi kullanılarak taranır ve temizlenir. Bu sayede, e-posta ağ geçidinde kullanılan koruma mekanizması fiziksel ortamlara da uygulanır. Gömülü makrolara veya aşamalı yüklemelere dayanan zararlı bir belge, hedef sisteme ulaşmadan önce etkisiz hale getirilir.
Kullanım ortamları, bir başka zorluk daha ortaya çıkarır: ortam çeşitliliği. Kiosk, USB, USB, SD kartlar, optik ortamlar ve eski formatlar dahil olmak üzere 20'den fazla ortam türünü destekler ve eski teknolojilerin hâlâ kullanıldığı durumlarda bile tutarlı bir uygulama sağlar.
Bu sistemin etkinliğini sağlayan şey, uygulamanın sıkı bir şekilde yürürlüğe konmasıdır. Bir dosya denetimden geçtikten sonra dijital imza alır. Uç noktalara yüklenen OPSWAT Media Aracısı, bu imzaya sahip olmayan tüm çıkarılabilir ortamları engeller. Taranmamış bir USB hiçbir şekilde çalışmaz.
Merkezi politikalar, süreci bir bütün haline getirir. MetaDefender , tüm medya iş akışlarında karantina kurallarını, cihaz kısıtlamalarını ve denetim günlüğünü uygular; böylece, hava boşluğu bulunan bir ortama giren her dosyanın denetlenmesini, doğrulanmasını ve kaydedilmesini sağlar. NERC CIP, NIST 800-53 veya ISA/IEC gereklilikleri kapsamında faaliyet gösteren kuruluşlar için bu düzeyde bir kontrol hayati önem taşır. Bu, ortama giren her dosyanın denetlendiğine ve onaylandığına dair doğrulanabilir kanıt sağlar.
Her Dosya Sınırında Birleşik Önleme
Önceki bölümlerde anlatılan teknolojiler, yani çoklu tarama, Deep CDR™ Teknolojisi, sanal ortam, e-posta güvenliği ve kiosk uygulaması, tek bir politika çerçevesi altında çalıştıklarında en etkili sonuçları verir.MetaDefender , bu temeli sağlar.
Bu platform, bulut e-posta ağ geçitlerinden çıkarılabilir ortam kontrol noktalarına ve ağ aktarımlarına kadar her dosya giriş noktasında politikaları, telemetri verilerini ve uygulama süreçlerini tek bir merkezde toplar. Güvenlik ekipleri, her bir denetim mekanizmasını ayrı ayrı yönetmek yerine, dosya işleme kurallarını tek seferde tanımlayarak bunları her yerde tutarlı bir şekilde uygular.
MetaDefender Core ile desteklenen 3 önemli iş akışı
- Tutarlı dosya ilkeleri: Bir dosyanın ortama nasıl girmiş olursa olsun, aynı tarama ve temizleme kuralları geçerlidir.
- Otomatik düzeltme: Sandbox ve itibar verileri, manuel müdahaleye gerek kalmadan engelleme, karantinaya alma veya serbest bırakma kararlarını tetikler.
- Uyum ve adli hazırlık: Raporlama ve soruşturma amacıyla IOC’ler ve denetim günlükleri SIEM platformlarına aktarılır.
Bu bütüncül yaklaşım, tek tek denetimler arasındaki boşlukları kapatır. Bir sınırda şüpheli bir dosya hakkında alınan sanal ortam kararı, benzer dosyaların diğer sınırlarda nasıl ele alınacağını anında etkileyebilir. Bunun operasyonel sonucu ise daha hızlı tespit, analistlerin iş yükünün azalması ve kötü amaçlı bir dosyanın koordinasyonsuz boşluklardan geçme olasılığının azalmasıdır.
Comebacker'ın Bir Daha Asla Geri Dönmemesini Sağlamak
Lazarus Grubu, şifreleme yöntemlerini, yükleyici zincirlerini ve dağıtım yöntemlerini geliştirmeye devam edecek; ancak kolayca değiştiremeyeceği şey, giriş noktası olarak dosyaya olan bağımlılığıdır. MetaDefender , e-posta, çıkarılabilir ortamlar ve ağ aktarımları genelinde her dosya sınırında önleme tedbirleri uygular.
Multiscanning Deep CDR™ teknolojisi, tehditleri çalıştırılmadan önce etkisiz hale getirir. MetaDefender dört katmanlı algılama süreci, güvenli bir şekilde temizlenemeyen unsurları ortaya çıkarır; “Pyramid of Pain” modelinin tamamında çalışır ve her analizle savunmayı güçlendiren istihbarat üretir.
Predictive Alin AI, bu zekayı güvenlik sınırlarına kadar genişleterek, öngörülen sıfırıncı gün saldırılarını milisaniyeler içinde engeller ve sanal ortam kapasitesini en çok ihtiyaç duyan dosyalar için ayırır. MetaDefender Core , bu denetimlerin tek bir politika çerçevesi altında çalışmasınıCore .
Comebacker ve onu takip edecek saldırılara karşı asıl soru, savunma sistemlerinizin en son varyantı tespit edip edemeyeceği değil, silah olarak kullanılan bir dosyanın kullanıcıya ulaşıp ulaşamayacağıdır. OPSWAT ortamınızda önleme tedbirlerini nasıl uygulamanıza yardımcı OPSWAT öğrenmek için bir uzmanla iletişime geçin.
