Windows, Linux ve macOS’ta Açık Dizin Sızıntıları BYOB Çerçevesi

Tehdit araştırmacıları, açık bir dizinin keşfedilmesinin ardından BYOB çerçevesinin tam bir dağıtımını barındıran aktif olarak hizmet veren bir komuta ve kontrol sunucusunu ortaya çıkardılar. 8081 numaralı bağlantı noktasındaki 38 [.]255 [.] 43[.]60 IP adresinde bulunan sunucu, Windows, Linux ve macOS sistemleri arasında kalıcı uzaktan erişim sağlamak için tasarlanmış kötü amaçlı yükleri dağıtırken bulundu. Amerika Birleşik Devletleri'nde Hyonix tarafından barındırılan altyapı, saldırganların ele geçirilmiş makineler üzerinde kontrol sahibi olmalarını sağlayan tam bir damlalık, stager ve kullanım sonrası modül koleksiyonu içeriyordu. Bu çerçeve, tehlikeli gözetim ve kontrol yetenekleri sunarken tespitten akıllıca kaçınan çok aşamalı bir enfeksiyon zinciri aracılığıyla çalıştığı için önemli riskler oluşturmaktadır. Açığa çıkan dizin, üç aşamalı bir enfeksiyon süreci kullanan BYOB kullanım sonrası araç setinin tam mimarisini ortaya çıkardı. İlk aşama, imza tabanlı algılama sistemlerinden kaçınmak için Base64 kodlama, Zlib sıkıştırma ve Marshal serileştirme kullanarak birden fazla gizleme katmanı uygulayan küçük bir 359 baytlık damlalık ile başlar. Bu damlalık, VirtualBox göstergeleri için ortam değişkenlerini tarayarak ve VMware, Hyper – V ve XenServer gibi sanallaştırma yazılımları için çalışan süreçleri inceleyerek anti – sanal makine kontrolleri gerçekleştiren 2 KB'lık bir stager olan ikinci aşamayı getirir. Ortam güvenli kabul edildiğinde, hazırlayıcı, komut sunucusuyla şifreli http iletişimi kuran ve talep üzerine ek gözetim modülleri yükleyen 123 KB'lık bir Uzaktan Erişim Truva Atı olan son yükü alır. Hunt.io analistleri, AttackCapture araçlarını kullanarak proaktif tehdit avı operasyonları sırasında maruz kalan altyapıyı belirlediler. Keşif, sistemleri aktif komut ve kontrol sunucusunda karakteristik açık dizin modelini tespit ettiğinde gerçekleşti.