Halka açık zararlı analiz platformlarının OPSEC riski: Virustotal örneği

Giriş

Her geçen gün sayıları artan SOME/SOC ekipleri için en önemli risklerin başında maruz kalınan saldılara karşı olay müdahale süreçlerini doğru işletebilmek gelmekte. Pek çok SOME/SOC ekibi gerek yaygın kullanımları, gerekse ücretsiz olmaları sebebiyle analizlerinde şüpheli link / dosyalar için app.any.run, Virustotal, Hybrid Analysis vb. gibi platformları kullanmakta. Elbette bunun riskleri de mevcut. Pek çok saldırgan da bu platformları izlemekte hatta buradaki bilgileri sistemlere ilk erişim (Initial Access) için kullanabilmekte.

Analiz

Bu hususu örnekleyebilmek adına bir deney yapmak istedim. Planım, içinde gizli bilgiler bulunduğu imajı veren bir dökümanı Virustotal'a yükleyerek o dökümanı birilerinin indirmesini beklemek ve bu süreçte de indirip açanların IP'lerini elde edebilmekti.

İlgili Word dökümanını oluşturabilmek için https://canarytokens.org/ hizmetini kullandım. "domain_admins.docx" ismiyle bir dosya oluşturarak içine örnek 1-2 parola koydum

Akabinde bu dökümanı Virustotal'a yükleyerek beklemeye başladım.

Aradan geçen 1.5 saat sonunda ilk balık oltaya yakalanmıştı. Ülkeyi söylememe gerek yok sanırım :)

Dökümanı Virustotal'ı kullanarak indiren C class IP aralığından bir değil birden fazla alarm geldi. Tahminim ya ekip-içi mail forward kaynaklı ya da "Great Firewall of China"'nın ufak bir NAT/PNAT vakası :)

Söz konusu IP'nin ait olduğu ASN'ini incelediğimde ise bu ASN'in daha önce pek çok APT faaliyetine saldırgan olarak karıştığını gözlemledim. Elbette bu örnekte bu dökümana bir güvenlik araştırmacısının denk gelmiş olma ihtimali de mevcut. (Yada en azından Virustotal'in bir bir Çin APT grubuna API sağlamayacağı iyi-dilekleri)

Aradan geçen 10 saat sonunda ise durum iyice karmaşık bir hal aldı;

Başka bir senaryoda döküman içinde kuruma-ait bir mail ekleyerek araştırmacı bildirim yapacak mı diye beklenerek "iyi niyet ölçümü" yapılabilir ya da dökümana eşsiz bir username ve password koyarak login denemesi takibi yapılabilir. Bu kısımlar okuyucaya bırakılmıştır :)

Sonuç

Bu örnekte de gördüğümüz üzere SOME/SOC ekiplerinin analiz süreçlerinde dikkatli olması, özellikle halka açık analiz platformlarını kullanırken ilk seçimlerinin başta sadece hash aramak olması önemli. Mümkünse on-prem cihazlar ve manuel analizler, hedefli saldırı riskine sebebiyet verebilecek durumlar için "saldırganlara koz vermemek adına" önemlidir.

Furkan ÇALIŞKAN

Read more posts by this author.