Yazılım & İşletim Sistemiİleri

KongTuke ile İlişkilendirilen Gizli Mistic Arka Kapısı ve Ransomware Erişim Sağlayıcıları

Sigorta, eğitim, BT ve profesyonel hizmet sektörlerine yönelik saldırılarda tespit edilen gizli Mistic arka kapısı hakkında teknik analiz. KongTuke grubu ile bağlantısı.

B
Bleeping Computer Tutorials
2 görüntülenme
KongTuke ile İlişkilendirilen Gizli Mistic Arka Kapısı ve Ransomware Erişim Sağlayıcıları

Giriş

2023 yılı sonlarında, finansal motivasyona sahip siber saldırgan gruplar tarafından kullanılan yeni bir arka kapı (backdoor) olan Mistic tespit edilmiştir. Bu tehdit, özellikle sigorta, eğitim, BT ve profesyonel hizmet sektörlerindeki kuruluşlara yönelik saldırılarda kullanılmıştır. Mistic, KongTuke adlı ransomware erişim sağlayıcı grubu ile doğrudan bağlantılıdır ve bu grubun fidye yazılımı saldırılarını desteklemek amacıyla sistemlere gizlice sızmasını sağlamaktadır.

Teknik Analiz: Mistic Arka Kapısının Özellikleri

1. Gizlilik ve Tespit Edilebilirlik

Mistic, adından da anlaşılacağı üzere (stealthy = gizli), sistemlerde uzun süre tespit edilmeden kalabilmek için çeşitli gizlilik teknikleri kullanmaktadır. Bu teknikler arasında:

  • Process Hollowing: Meşru bir işlem (örneğin, Notepad.exe) içinde gizlenerek çalışır, böylece güvenlik yazılımları tarafından şüpheli olarak algılanmaz.
  • API Hooking: Sistem API'lerini izleyerek güvenlik araçlarının davranışlarını manipüle eder ve kendi varlığını gizler.
  • Komut ve Kontrol (C2) Sunucuları ile Düşük Frekanslı İletişim: Saldırganların komutlarını almak ve verileri göndermek için nadiren iletişim kurar, böylece ağ trafiği izleme araçları tarafından fark edilmez.

2. Yetki Yükseltme ve Yanal Hareket

Mistic, saldırganlara sistemde yetki yükseltme ve diğer ağ bileşenlerine yayılma yeteneği sağlar. Bu özellikler, aşağıdaki yöntemlerle gerçekleştirilir:

  • Pass-the-Hash (PtH) Saldırıları: Elde edilen kimlik bilgilerini kullanarak diğer sistemlere erişim sağlar.
  • PsExec ve WMI Kullanımı: Uzaktan komut çalıştırma yeteneği sayesinde, saldırganlar hedef sistemlere kolayca erişebilir.
  • Active Directory Taraması: Kurbanın Active Directory yapısını analiz ederek, diğer sistemlere yayılmak için en zayıf noktaları belirler.

3. Veri Toplama ve Sızma

Mistic, kurban sistemlerinden hassas verilerin toplanması ve saldırganlara iletilmesi için tasarlanmıştır. Bu süreçte kullanılan yöntemler şunlardır:

  • Dosya ve Dizin Tarama: Belirli dosya türlerini (örneğin, .docx, .xlsx, .pdf) arar ve bunları sıkıştırarak C2 sunucusuna gönderir.
  • Tarayıcı Verilerinin Çalınması: Kullanıcıların tarayıcı geçmişi, çerezleri ve oturum bilgileri çalınır.
  • Ekran Görüntüsü Alma: Kurbanın ekran görüntülerini yakalayarak saldırganlara gönderir.

Saldırı Vektörleri ve KongTuke Bağlantısı

1. İlk Erişim Yöntemleri

Mistic, genellikle aşağıdaki yöntemlerle sisteme ilk erişimi sağlar:

  1. Phishing E-postaları: Kullanıcıları yanıltıcı e-postalarla kandırarak kötü amaçlı yazılımın indirilmesini sağlar.
  2. Sıfır Gün Açıkları: Bilinen güvenlik açıklarından faydalanarak sistemlere sızar.
  3. Saldırganların Satın Aldığı Kimlik Bilgileri: Dark web üzerinden elde edilen geçerli kullanıcı adı ve şifreleri kullanır.

2. KongTuke Grubu ile İlişki

Mistic, KongTuke adlı bir ransomware erişim sağlayıcı grubu tarafından kullanılan bir araçtır. KongTuke, saldırganlara hedef sistemlere erişim sağlamakta ve ardından fidye yazılımı saldırıları gerçekleştirmektedir. Bu grup, aşağıdaki yöntemlerle çalışmaktadır:

  • RaaS (Ransomware-as-a-Service) modelini kullanarak, diğer saldırganlara fidye yazılımı saldırıları için erişim satar.
  • Çoklu Saldırı Vektörleri: Farklı sektörlerdeki kuruluşlara yönelik saldırılar düzenler.
  • Veri Sızıntısı Tehdidi: Fidye ödemesi yapılmazsa, çalınan verileri yayınlama tehdidinde bulunur.

Mistic Arka Kapısının Tespiti ve Kaldırılması

1. Tespit Adımları

Mistic'in tespit edilmesi için aşağıdaki adımlar izlenmelidir:

  1. Sistem Günlüklerinin İncelenmesi: 
    Get-WinEvent -LogName "Security" | Where-Object {$_.Id -eq 4688} | Select-Object TimeCreated, ProcessName, CommandLine
  2. Güvenlik Yazılımları ile Tarama: 
    # Windows Defender kullanarak sistem taranması
Start-MpScan -ScanType FullScan

# Üçüncü taraf araçlarla (örneğin, Sysmon) sistem izleme
sysmon -i -c sysmonconfig.xml
  3. Ağ Trafiğinin Analizi: 
    # Wireshark kullanarak şüpheli C2 trafiğinin izlenmesi
wireshark -k -i eth0 -f "tcp port 443 and (host  or host )"

2. Kaldırma Adımları

Mistic'in sistemden kaldırılması için aşağıdaki adımlar izlenmelidir:

  1. Bağlantıların Kesilmesi: 
    # Güvenlik duvarı kurallarıyla C2 sunucularına olan bağlantıların engellenmesi
netsh advfirewall firewall add rule name="Block Mistic C2" dir=out action=block remoteip=
  2. Sistemden Kaldırma: 
    # Güvenlik yazılımı kullanarak Mistic'in tespit edilmesi ve kaldırılması
Get-MpThreatDetection | Where-Object {$_.InitialDetectionTime -gt (Get-Date).AddDays(-7)} | Remove-MpThreat
  3. Yetki Kontrollerinin Gözden Geçirilmesi: 
    # Sistemdeki yetkilerin ve kullanıcı hesaplarının gözden geçirilmesi
net user
whoami /priv
  4. Yedeklerden Geri Yükleme:

    Eğer sistem ciddi şekilde etkilendiyse, yedeklerden geri yükleme yapılması önerilir.

3. İpuçları ve Uyarılar

⚠️ Önemli Uyarı: Mistic gibi gizli arka kapılar, sistemde uzun süre tespit edilmeden kalabilir. Bu nedenle, sürekli izleme ve günlük analizi yapılmalıdır. Ayrıca, saldırganların sistemde başka zararlı yazılımlar bırakmış olabileceği unutulmamalıdır.

🔍 İpucu: Eğer sistemde Mistic'in varlığından şüpheleniyorsanız, izole edilmiş bir ortamda inceleme yapınız. Bu, saldırganların sistemdeki diğer bileşenlere zarar vermesini önleyecektir.

Korunma Önlemleri

1. Sistem Güvenliğinin Sağlanması

  • Güncel Yazılımların Kullanılması: Tüm sistemlerin ve yazılımların güncel olduğundan emin olun.
  • Güçlü Kimlik Doğrulama: Çok faktörlü kimlik doğrulama (MFA) kullanın.
  • Sınırlı Kullanıcı Yetkileri: Kullanıcıların sadece gerekli yetkilere sahip olmasını sağlayın.

2. Ağ Güvenliğinin Sağlanması

  • Ağ Segmentasyonu: Kritik sistemleri diğer ağlardan izole edin.
  • Güvenlik Duvarı Kuralları: Gereksiz portların ve hizmetlerin kapalı olduğundan emin olun.
  • E-posta Güvenliği: Phishing saldırılarına karşı kullanıcıları eğitin ve e-posta filtreleme araçları kullanın.

3. Sürekli İzleme ve Analiz

  • SIEM Sistemleri: Güvenlik olaylarını merkezi olarak izleyin ve analiz edin.
  • EDR/XDR Çözümleri: Gelişmiş tehditleri tespit etmek için uç nokta koruma çözümleri kullanın.
  • Düzenli Denetimler: Sistemlerdeki yetkileri ve ağ trafiğini düzenli olarak denetleyin.

Sonuç

Mistic arka kapısı, KongTuke grubu tarafından kullanılan ve finansal kazanç amacıyla tasarlanmış bir tehdittir. Bu tehdit, sistemlere gizlice sızmakta, hassas verileri toplamakta ve fidye yazılımı saldırıları için zemin hazırlamaktadır. Mistic'in tespiti ve kaldırılması, sistem güvenliğinin sağlanması açısından kritik öneme sahiptir. Bu makalede sunulan adımlar ve koruma önlemleri, kuruluşların bu tehdide karşı daha hazırlıklı olmalarına yardımcı olacaktır.

Unutulmamalıdır ki, siber tehditler sürekli gelişmektedir. Bu nedenle, güncel kalmak ve güvenlik uygulamalarını sürekli olarak güncellemek hayati önem taşımaktadır.

İlgili Makaleler