Siber Dedektifçilik

Güvenlik araştırmacıları, siber korsanların parmak izlerini takip etmeyi esas alan yeni bir yöntem ile Windows saldırılarında ele geçirdikleri verileri satan Rus siber suçluların izini ortaya çıkardı. Bu kapsamda Ekim ayının başında yapılan açıklamada, parmak izi yöntemi kullanılarak Windows local privilege escalation (LPE) saldırıları ile bağlantılı iki siber suç unsurunun tespit edildiği belirtildi.

LPE (yerel ayrıcalığın yükseltilmesi) saldırıları, siber suçluların bir kullanıcının sistem haklarını ele geçirmesi ile yaşanıyor. Bu şekilde sisteme giriş sağlayan siber suçlular, sistemdeki kontrollerini artırmak için ayrıcalık yükseltme teknikleri kullanıyor. Windows LPE saldırılarını geliştiren siber suçluların, yöntemlerini geçmişte Rusya merkezli gelişmiş sürekli tehditler (APT) gruplarının yanı sıra diğer müşterilere sattıkları anlaşıldı.

Güvenlik uzmanları tarafından yapılan açıklamada, saldırı yönteminin bir müşteri ilişkileri hadisesinde geliştirildiği ve saldırıda 64-bit uygulama dosyası kullanıldığı belirtildi. Dosyayı inceleyen uzmanlar, hedef makinelerdeki zafiyeti ortaya çıkarmayı amaçlayan olağandışı hata ayıklayıcı dizinler tespit etti. Dosyada tespit edilen program veri tabanı (PDB) dizini “…\cve-2019-0859\x64\Release\CmdTest.pdb”, bir zafiyet oluşturma aracının kullanıldığını ortaya çıkardı.

Araştırmacılar buradan yola çıkarak spesifik zafiyet geliştiricilerini tanımayı sağlayacak parmak izi yöntemini kullanmaya karar verdi. Bunu yapabilmek için saldırı ile aynı zamanda geliştirilen bir diğer 32-bit dosya incelendi ve aynı siber suçluların özelliklerini ortaya koyan özellikler tespit edildi. Bu özellikler arasında ikili kodlar, dahili dosya isimleri, PDB dizinleri, veri tabloları, kod parçaları yer alıyordu.

Ek olarak, siber suçluların tercih ettiği veri sızdırma ve ayrıcalık yükseltme yöntemleri de incelendi ve “heap spraying” yapılıp yapılmadığı kontrol edildi.

Heap spraying nedir?

Heap spraying, bilgisayar sistemlerindeki güvenlik zafiyetleri ifşa etmek için kullanılan bir yöntemi temsil ediyor. Heap, programlar tarafından kullanılmak için dağıtılan geniş bir bellek havuzunu temsil ediyor. Saldırıda, bellek havuzunda rastgele byte’lar yazılarak sistem ifşa ediliyor.

Analizler, siber suçlunun işlemlerine yönelik API (uygulama programlama arayüzü) ve küresel aramalar gibi yeni suç unsurları ortaya koyan kodlar ortaya çıkardı. Nihayetinde, iki güvenlik zafiyeti satıcısı tanımlandı.

Araştırmacılar, yeni yöntemi 16 Windows LPE zafiyeti üzerinde test etti. Söz konusu zafiyetlerin 15’inin 2015 ile 2019 arasında yaşandığı belirtildi. Güvenlik zafiyetlerini saldırıya dönüştürmek için kullanılan yöntemlerin “Volodya” (geçmişte BuggiCorp olarak biliniyordu) ve “PlayBit” (eski adı ile luxor2008) adlarını taşıyan iki geliştiriciye ait olduğu belirlendi.

Volodya, bilinen güvenlik zafiyetlerinin yanı sıra sıfır gün güvenlik açıklarına yönelik araçlar yazmasıyla da biliniyor. Araştırmacılar, birçoğu sıfır gün saldırıları olmak üzere Volodya‘nın 10 Windows LPE’si ile bağlantılı olduğunu belirtti.

Volodya’nın müşterileri arasında siber suç örgütleri Ursnif, GandCrab, Cerber, Magniber’in yanı sıra Turla, APT28 ve Buhtrap gibi gelişmiş sürekli tehditler (APT) örgütleri olduğu belirtildi.

Turla, APT28 ve Buhtrap gibi APT aktörlerinin genelde Rusya’ya işaret ettiği ve bu tür siber saldırı örgütlerinin güvenlik zafiyeti ifşa araçlarını kendileri geliştirmek yerine diğer geliştiricilerden satın almasının şaşırtıcı olduğu belirtildi.

Diğer güvenlik zafiyeti ifşa aracı satıcısı olarak tespit edilen PlayBit, sadece bilinen güvenlik açıklarına yönelik “taşıma yükü” geliştiriyor. Analizler, PlayBit tarafından satılan beş farklı zafiyet aracı olduğunu tespit etti. Bu araçlar sayesinde siber suç örgütlerinin REvil ve Maze fidye yazılımları gibi saldırıları geliştirdiği belirtiliyor.

Güvenlik araştırmacıları, siber suç örgütleri için bir zafiyeti tespit etmenin sadece ilk adım olduğunu, zafiyetin paraya dönüştürülebilmesi için ifşa aracının olabildiğince çok versiyonda çalışması gerektiğini ifade etti. En son analizlerde elde edilen başarının ardından, siber güvenlik şirketlerinin parmak izi yöntemini benimseyerek çok daha fazla siber suç örgütünü ortaya çıkarmaları çağrısı yapıldı.