Excel Evrakıyla Güvenlik Sistemlerini Atlatan Bir Prosedür Bu

 Excel Evrakıyla Güvenlik Sistemlerini Atlatan Bir Prosedür Bu
Okunuyor Excel Evrakıyla Güvenlik Sistemlerini Atlatan Bir Prosedür Bu

Hackerların sistemlere girebilmek için kullandıkları teknikler bazen nitekim şaşkınlık yaratabiliyor. Yeniden bu şaşkınlık yaratan usullerden yeni bir tanesi daha keşfedildi. Bir makus maksatlı yazılım kümesi, ziyanlı Excel belgeleri oluşturdu. Oluşturulan bu belgelerin tespit edilme oranı bir epey düşükken güvenlik sistemlerini atlatma oranı da bir o kadar yüksek.

NVISO Lab’deki güvenlik araştırmacıları tarafından keşfedilen Epic Manchego isimli bu makus emelli yazılım kümesi, haziran ayından bu yana faal ve ziyanlı Excel evrakları içeren e-postalarla dünya genelindeki şirketleri gaye alıyor. NVISO tarafından yapılan açıklamaya nazaran bunlar, standart Excel tabloları değil. Bu ziyanlı Excel evrakları, güvenlik tarayıcılarını atlatabiliyor.

Ziyanlı Excel belgeleri

NVISO Lab’e nazaran güvenlik tarayıcılarını atlatabilmelerinin sebebi, standart Microsoft Office yazılımlarıyla değil EPPlus ismi verilen .NET kütüphanesiyle derlenmeleri. Bu kütüphane, birçok formatta tablo oluşturmak için kullanılabiliyor ve hatta Excel 2019’u da destekliyor. NVISO, Epic Manchego tarafından oluşturulan Office Open XML (OOXML) tablolarında, Microsoft Office yazılımlarında derlenen Excel dokümanlarına özel olarak bulunan derlenmiş VBA kodunun yer almadığını söyledi.

Bu derlenmiş VBA kodu, çoklukla saldırganın ziyanlı kodunun bulunduğu yer oluyor. NVISO, Epic Manchego’nun ziyanlı kodlarını özel bir VBA formatında depoladığını ve bunun da şifreli olduğunu, bu sayede güvenlik sistemlerini ve içeriği tahlil eden araştırmacıları atlatabildiğini söz ediyor. Ayrıyeten bu ziyanlı Excel dokümanlarını oluşturmak için farklı bir metot kullanılsa da EPPlus tabanlı tablolar rastgele bir Excel dokümanı üzere çalışıyor.

Ziyanlı dokümanlar, ziyanlı makro kodları içerisinde barındırıyor. Şayet ki Excel evrakını açan kullanıcı, düzenlemeyi etkinleştir butonuna tıklarsa bu makro kodlar, ziyanlı yazılımı kurbanın bilgisayarını indirip yüklüyor. Son olarak Azorult, AgentTesla, Formbook, Matiex ve njRat üzere bilgi çalan Truva atı virüsleri kullanıcının tarayıcılarını, e-postalarını ve FTP istemlerini Epic Machengo’nun sunucularına gönderiyor.

Ziyanlı Excel belgeleri oluşturmak için EPPlus kullanmak başlangıçta Epic Manchego’nun faydasına olsa da uzun vade de kümenin aleyhine işliyor. Tuhaf Excel evrakları taranarak Epic Manchego’nun geçmişteki operasyonları takip edilebiliyor. NVISO da bu teknikle Epic Manchego kümesiyle bağlantılı 200’den fazla ziyanlı Excel belgesi tespit etti. Bu evrakların birincisinin ise 22 Haziran tarihli olduğu keşfedildi.

NVISO, kümenin bu teknikte tecrübe kazandığını ve birinci akından sonra hem akınlarını hem de hücumlarının karmaşıklığını artırdıklarını tabir etti. Ayrıyeten bu taarruzlarının gelecekte daha geniş bir kullanım alanı bulabileceğini de lisana getirdi.

Yapılan Yorumlar
Bir Yorum Yapın