Turla LightNeuron Saldırısı Hakkında

İşletim sistemlerinde güvenlik iyileştirmeleri nedeniyle rootkit kullanımı birkaç yıldır sürekli düşüş göstermektedir. Bu nedenle kötü amaçlı yazılım geliştiricileri (özellikle casusluk gruplarında çalışanlar) yeni nesil kötü amaçlı yazılım geliştirmekle meşgul. Son zamanlarda ESET araştırmacıları bir casusluk grubu “Turla” tarafından kullanılan sofistike bir saldırı yöntemini araştırdılar. “LightNeuron” olarak adlandırılan bu arka kapı aracı özellikle yeni nesil Exchange sunucularını (2016 ve sonrası) hedefliyor.

İlgili ekip aşağıdaki 3 bölgede bu tür atakları gözlemlediklerini söylüyor;

Peki nasıl bir saldırı yöntemi izliyorlar? Tabiki öncelikle bu çok yeni nesil bir taktik ancak bir zafiyet söz konusu değil. Hatırlarsanız bundan önce de sizlere yine Exchange zafiyeti olarak anlatılan ancak bunun bir Exchange zafiyeti olmadığını “Infinitum Labs” ekibi ile dokümante ederek kanıtlamıştık. Burada da benzer bir durum olmasına karşın bu kadar yaygara kopmasının en önemli nedeni bir şekilde bu zararlının Exchange sunucularına bulaşması durumunda transport agent seviyesinde sistemi ele geçirmesi olarak gösterilebilir.

Peki Nasıl çalışıyor?

LightNeuron, Özellikle Microsoft Exchange e-posta sunucularını hedefleyen ilk kötü amaçlı yazılımdır. Daha önce hiç görülmemiş bir gizlilik – kalıcılık tekniği kullanır: “Transport Agent”

Aslında benim hemen hemen her sorunda ilk kontrol ettiğim alan olan transport agent olarak sisteme sızman Exchange gibi bir alt yapı için son derece tehlikelidir. Malum uzun yıllardır Exchange Server ile uğraşan birisi olarak ve özellikle bu maili alanların arasında beraberde proje yaptıklarımız olduğu için her transport sorununda ilk Transport Agent’ lara baktığımı bilir. Bu alışkanlığın güzel bir faydası olarak çalıştığımız hiçbir müşteride bu atak yöntemine rastlanmadı.

Zaten Exchange server mimarisinden temel olarak anlıyorsanız bir transport agent’ ın ne kadar tehlikeli olabileceğini tahmin edebilirsiniz. Daha basit bir örnek vermek gerekir ise pek çoğunuz Office 365 veya Exchange için disclaimer yazılımları kullanıyorsunuz, bütün o mail trafiğinizdeki imzaları bir transport agent sayesinde yönetmektedir.

Peki gelelim yine bu bir Exchange zafiyeti mi sorusuna?

Benimde içinde bulunduğum kapalı bir mail grubunda bir Microsoft yetkilisi konuyu son derece güzel bir şekilde özetledi;

Not: Normalde bu grup içerisindeki konuşmalar NDA altında olmasına rağmen bu public bir bilgi olduğu için sizlerle paylaşıyorum;

Özetle bu yetkili bir kullanıcının bir sisteme virüs bulaştırmasından farksız bir durum olup bunun bir Exchange zafiyeti olmadığını hatta Defender ATP ürününün bunu tespit edebildiğini söyledi.

Biz tabi bu bilgileri 3 gün önce aldık ancak malum ilk olarak Exchange SLA müşterilerimizde kontrol ettikten sonra bir şekilde sizlere ulaştırmaya çalışıyoruz. Günün sonunda bizden aktif SLA hizmeti alan müşteriler bu tür destekler için bize para ödüyorlar 😊

Özetle, şu anda çok yaygın ve genel bir saldırı söz konusu değil, ancak her zaman tetikte olmakta fayda var. Bu mail’ den sonra en kötü Exchange sunucusu sistemlerinde Win32/Turla zararlısının bilen bir AV ile taratma yapmanızda fayda bulunmaktadır.

Yada PS bilenler için yüklemeleri aşağıdaki iki isim ile yaptığı için bu iki isim’ in sizdeki Exchange sunucularında transport agent olarak olup olmadığını kontrol edebilirsiniz

Daha fazla bilgi için aşaıdaki PDF dosyasını inceleyebilirsiniz.

https://1drv.ms/b/s!ApkDgKv0Ho0-hZtlwZn5PBhvfIzl6Q

Umarım faydalı bir yazı olmuştur.