Saldırı nasıl çalışıyor?
-
SEO poisoning & Malvertising: Saldırganlar arama motoru sonuçlarını ve reklam ağlarını manipüle ederek, “Microsoft Teams download” gibi aramalarda üst sıralarda görünen sahte sayfalar veya kötü niyetli reklamlar (malvertising) yerleştirir. Bu sayfalar görünüşte resmi indirme sayfasına benzer.
Trojanize edilmiş yükleyici: Kullanıcı sahte site veya reklama tıklayıp indirme başlattığında, gerçek yükleyiciymiş gibi görünen fakat arka planda Oyster backdoor’u içeren
MSTeamsSetup.exebenzeri trojanize edilmiş bir dosya çalıştırılır.İlk yükleme ve kalıcılık: Yükleyici, hedef makinede persistens sağlamak için (ör. Scheduled Task, run kayıtları, servis veya benzeri kayıtlar) kendini kalıcı hale getirir. Ardından Oyster C2 (komut-kontrol) ile bağlantı kurar.
Yetki yükseltme, keşif ve yan yüklemeler: Backdoor sistem bilgisi toplar, ağ keşfi yapar, kimlik bilgileri veya oturum bilgileri çalmaya çalışabilir ve gerekirse ek kötü amaçlı yazılımları (ör. şifre çalma, Ransomware yükleri gibi) indirip çalıştırır. Bazı vakalarda bu zincir Rhysida gibi fidye gruplarına ulaştırılmak üzere kullanıldı.
Oyster (Broomstick / CleanUpLoader) teknik özellikleri — kısa özet
-
Genelde C++ ile yazılmış backdoor/loader.
-
Uzaktan komut alma, dosya transferi, komut kabuğu/uzaktan oturum açma yetenekleri.
-
Kendisini kalıcı yapmak için zamanlanmış görevler veya başlatma anahtarları kullanabilir.
-
Ağ üzerinden C2 trafiği kurar; trafiği gizlemek için domain flux veya kısa ömürlü altyapılar kullanılabilir.
Gösterge (IoC) ve tespit edilebilecek izler
Not: IoC’ler kampanyaya göre değişir; kurumunuzda gözlenen şüpheli işaretleri hemen SOC/EDR ile paylaşın.
-
Dosya/isim örnekleri:
MSTeamsSetup.exe(trojanize edilmiş), benzer şekilde Putty/WinSCP/Chrome adlarını taklit eden yürütülebilirler - Şüpheli domain/URL’ler: Arama sonucu reklamlarından yönlendiren spoofed/sahte indirme sayfaları (kısmen geçersiz/benzer domainler, kısa ömürlü sertifikalar). (Kaynak raporları örnek domainleri içeriyor; IOC’leri doğrudan SOC’unuza iletin.)
Kalıcılık izleri: Windows Scheduled Tasks, bilinmeyen servisler,
HKCU\Software\Microsoft\Windows\CurrentVersion\Runveya benzeri Run anahtarları.-
Ağ göstergeleri: Bilinmeyen dış IP/hostname’lere HTTPS bağlantıları, C2 benzeri davranış (periyodik beaconing).
netstat -anobveya EDR ağ akışlarıyla incelenmeli. -
Davranış: Kısa zamanda yeni kullanıcı/administrator hesapları oluşturma denemeleri, dosya paylaşım yapılarına erişim, anormal PowerShell komut yürütmeleri.
Acil müdahale (kullanıcı / küçük ofis için)
-
İnterneti kes (etkilenmiş makineyi ağdan ayırın) — böylece C2 bağlantısını kesin.
-
Çalışmayı sonlandır: Şüpheli yürütülebilir bulunuyorsa EDR/antivirüs ile karantinaya alın; süreçleri
Task Managerveya EDR üzerinden durdurun. -
Kullanıcı parola değişikliği: Etkilenmiş kullanıcıların parolalarını (özellikle yönetici hesapları) hemen değiştirin ve MFA etkinleştirin.
-
İz inceleme: Scheduled Tasks, servisler, Run anahtarları, Windows Event Log (4624/4625/4688) ve EDR telemetrisini inceleyin.
netstat -anob, PowerShell komut geçmişi ve DNS sorguları hızlıca analiz edilmeli. -
Tam tarama ve restore: Güvenilir yedekten (saldırının öncesinden) temiz bir restore yapın; eğer fidye/yan yükleme riski varsa, sistemin tamamı izole edilip yeniden kurulum yapılmalıdır.
-
Raporlayın: Tespit edilen IoC’leri SOC / CERT / ilgili siber güvenlik ekiplerine gönderin. (Kaynak raporlar mevcut örnek IoC listelerini içeriyor; SOC’unuz bunları kullanarak arama yapmalı.)
Kurumlar için önleyici tedbirler (uzun vadeli)
-
Güvenli dağıtım kanalları: Yazılım indirmelerini resmi kanallardan yapmak (MS Intune/WSUS/merkezi yazılım dağıtımı).
-
EDR ve web filtreleme: Reklam kaynaklı yönlendirmeleri tespit edip engelleyecek URL filtreleri, DNS güvenliği ve EDR kuralları oluşturun.
-
Reklam ağları & üçüncü taraf risk yönetimi: DSP/Ad networks üzerinde güvenlik kontrolleri; özellikle SEO/SEM kampanyalarını izleyin.
-
Koddaki imza doğrulama: Yükleyicilerin dijital imzalarını kontrol eden politikalar uygulayın. İmzalanmamış veya beklenmeyen imzalı sürümler otomatik bloklanabilir.
-
Kullanıcı eğitimi: “Nereden indiriyorum?” ve “SSL içeriği her zaman güvenli mi?” sorularını kullanıcılara öğretin; özellikle IT araçlarını arayan teknik kullanıcılara dikkat uyarısı.
-
MFA ve ilave kimlik doğrulama: Kritik erişimlerde zorunlu çok faktörlü kimlik doğrulama.
-
Threat hunting & IOC paylaşımı: Sektör paylaşımları ve bilgi alışverişi (ISAC/CSIRT) ile yeni malvertising IOC’lerini hızla yayınlayın.
Hangi araçlar / komutlar hızlı bakış için kullanılabilir?
-
Ağ bağlantıları:
netstat -anob(yönetici olarak çalıştırın) -
Windows Scheduled Tasks: PowerShell
Get-ScheduledTask | Where-Object { $_.TaskName -like '*' } -
Çalışan süreçler / imzalar: PowerShell
Get-Process | Select-Object Name,Id,Path(veya EDR) -
EventLog:
Get-WinEvent -FilterHashtable @{LogName='Security';ID=4688} -MaxEvents 100(komut çalıştırma geçmişi)
Bu komutlar bir başlangıçtır; daha derin analiz için EDR ve SIEM verileri gereklidir.
Tavsiye edilen politika değişiklikleri (yönetim için kısa not)
-
Yazılım indirmeleri için “sadece kurumsal katalog” politikası uygulayın.
-
Reklam kaynağı ve üçüncü taraf içeriklerin risk değerlendirmesini düzenli hale getirin.
-
Acil müdahale planlarını (IR playbook) malvertising-sourced yüklemeler için güncelleyin.
Sonuç
Malvertising + SEO poisoning kombinasyonu, güvenlik zincirindeki en zayıf halka olan “kullanıcı davranışı”nı hedef alır. Oyster ve benzer backdoor’lar, trojanize edilmiş yükleyicilerle hızlıca kurum içinde hareket edebilir ve ek zararlı yüklemelerin kapısını açabilir. Hem bireysel kullanıcılar hem kurumlar için en etkili savunma; indirme kaynaklarını kontrol etmek, EDR/URL filtreleri, MFA uygulamak ve kullanıcıları bilinçlendirmektir. Güvenlik ekipleri rapor edilen IoC’leri (ve kendi ağlarındaki göstergeleri) paylaşmalı ve proaktif threat-hunting yapmalıdır.
-
- Kaynaklar (seçili): Rapid7, The Hacker News, Blackpoint, Arctic Wolf, Hunt.io teknik raporları ve SOC duyuruları
0 Comments: