11 Ocak 2020 Cumartesi

MageCart Group Formjacking Attacks Analysis


Siber güvenlik olay müdahalesiyle yakından ilgileniyorsanız ve güvenlik olayları analizi işinizin bir parçası ise sıklıkla kurum ağınıza dahil olan her kullanıcının, cihazın, iot ve byod hepsinden tetiklenen alarmları derinlemesine analiz etmeniz gerekiyor. Zira sistemlerinizin üretmiş olduğu alarm ve iz kayıtlarını yeteri kadar iyi analiz etmezseniz, maruz kalabileceğiniz bir veri ihlali, siber güvenlik olayı, herhangi bir APT grubunun hedefi olmaya kadar gidebiliyor. İşte bu noktada formjacking url'i ziyaret edildiğine dair alarm alan bir güvenlik uzmanı için serüven başlıyor. : )

Açıkçası bu yazıyı yazmama ilham olan ve bu konuda farkındalığımın artmasına daha fazla güvenlik araştırması yapmama neden olan bu yazı için Furkan bey ve çalışma arkadaşlarına ayrıca teşekkürler. : )

Formjacking saldırıları saldırganların belirli bir zafiyet içeren web sitesindeki zafiyeti istismar ederek, hedef aldıkları sitelerin ödeme formlarına enjeckte etmiş oldukları kendi zararlı javascript kodlarıyla, ödeme ve diğer hassas bilgileri kaçırdıkları saldırılar olarak bilinmektedir. Detaylı bilgiler için yazıdaki referanslar kısımlarını ziyaret edebilirsiniz.

İstihbarat odaklı güvenliğin önemli olduğunu düşünen birisi olarak sıklıkla twitterda güvenlik ile ilgili paylaşım yapan bir çok hesabı takip ediyorum. Malwarebytes'ın tehdit istihbaratı tarafından paylaşılan aşağıdaki bilgiden sonra hem kendi analiz yeteneklerimi geliştirmek hemde farklı bir şeyler keşfedebilmek adına araştırma yapmaya başladım. 


Figure. 1

İçerisinde ATMZOW kelimesi geçen ve analiz amacıyla kaynak kod arama moturu olan nerdydata aracından faydanlanmak üzere yola koyuldum. Karşıma ATMZOW kelimesi geçen 45 farklı domain çıktı. 


Hemen ilk çıkan domaini analiz etmek üzere yola koyuldum. Süphelenmiş olduğum domainleri analiz ederken kullandığım urlscan.io ve browserling'de domaini tarattım. Sitenin altyapısında magento kullanılıyor olması ve e-ticaret sitesi olması beni daha da heyecanlandırdı. 


Sitenin mevcut kullanmış olduğu magento uygulamasında zafiyet olup olmadığını araştırmak için online public free magento scanner toollarından faydalandım. Bu ve benzeri toolların faydası kurumsal bir SOME'de gerçekleşen güvenlik olaylarını analiz ediyorsanız herhangi bir T anında son kullanıcıdan gelen süpheli bir url ziyaret edildiğinde sitenin sadece magento değil farklı zafiyetler içeriyor olduğunu bilmek compromise olduğuyla ilgili size,analiste daha fazla süphe uyandırabilir. Zira exploit kit landing pageler, malware C&C domainler, ya da legitimate adresler bu istismarlar sonucu saldırganlar tarafından sıklıkla hedef alınmaktadır. Bu açıdan analist bakış açısı kazanmaya faydalı olabileceğini düşünüyorum.

Tarama sonuçlarından yola çıkarak bu sitede bulunan magentonun patchlenmemiş sürümü kullanıldığını public araçlar sayesinde de test edip görebilmiş oldum.






Bu aşamadan sonra sitede sahte bir alışveriş yapıp checkout sayfasına geçtim. Hemen sahte bir kredi kartı  ve bilgileri generate edip aşağıdaki form alanlarını doldurdum. : )




Beğendiği botu alan ve alışveriş yapmanın keyfini yaşayan Alissa için her şey normalmiş gibi görünse de place order now  demesiyle saldırganların enjeckte etmiş oldukları zararlı javascipt kodu ile kredi bilgileri saldırganların sunucularına yönleniyordu.  :)
Neyseki Alissanın çalıştığı şirkette antivirus programı formjacking saldırısını olduğunu anlamıştı ve şirketteki çalışan SIEM'den gelen alarmları analiz eden siber güvenlik uzmanı durumdan haberdardı. :)



Bu aşamadan sonra sayfanın kaynak kodlarını incelemeye karar verdim. Sitenin kaynak kodlarını yukarıdan aşağıya incelemeye başladığımda her şey normal görünüyordu. Ancak sayfanın sonuna geldiğim bir yer hariç. 




Hemen ekran görüntüsündeki karmaşıklaştırılmış javascript kodunu güzelleştirmek üzere yola koyuldum. Online kullanılabilecek javascipt beautifier ve ddecode araçlarından faydalanarak kodu güzelleştirdim. Güzelleştirilmiş kodların içerisinde saldırganların topladıkları verileri gondermiş oldukları ip adresini kefşedebilmiş oldum.



Daha sonra bu ip adresini threatminer sitesinde aratmaya karar verdim. Çıkan sonuçlarda aslında bu ip adresinin bir kampanya adresi olduğu daha önce yapılmış analiz sonuçları ve tweetlere ulaştım.







Bu twitterlerden birisinde magento için yazılmış bir php backdoorun aynı zamanda js skimmer olarak kullanıldığı ile ilgili bir twitte rastladım.


Analize devam ederken nerdydata üzerinde arama sonucu çıkan domainlere baktığımda da onlarında compromise olduğu ve zararlı javascript kodu enjecte edildiğini gözlemlemiş oldum.


Proaktif alınabilecek önlemler

  • Geçmişe yonelik 103.139.113.34 ip adresine kurum içi ağdan erişim isteği olmuşsa kontrol edilsin.
  • Firewall, web content gw, dns firewall gibi cihazlarda block list oluşturularak 103.139.113.34 adresi bu listeye eklensin.
  • SIEM' üzerinde dynamic intelligence listesine 103.139.113.34 si eklensin ve bu adrese erişim olduğunda alarm çalsın. Analist analiz etmeye başlasın.
  • Formjacking kategorisinde bulunan domainlerle ilgili alarm gelen sistemlerden(AV gibi) historical rapor oluşturulsun. Aylık kaç kişi bu ve benzeri domainlere erişmeye calismis, bunlardan kaçı tehdit barındırıyor gibi.
  • Sinkhole yeteneği olan cihazların kurum trafiğinin özellikle WAN giden isteklerde doğru konfigürasyonlarının aktif edilmesi ve sinkhole adresine gerçekleştirilen isteklerin analistler tarafından dashboardlar arayıcılığı ile izlenmesi. 
  • Tehdit avcılığı ile ilgili ip, domain, hash gibi bilgilerin kontrol edilip tehdit avcılığı yapılması.
ioc: 103.139.113.34

Sonuç:

Güvenlik olayları analizi yaparken open intelligence ve OSINT araçlarından sıklıkla faydalanıyoruz. İstihbarat odaklı güvenlik için istihbaratı yalnızca bir yerden almak yeterli olmayacaktır. Güvenlik ürünlerinden tetiklenen alarmları tehdit modellemesi yaparak ve neye ne kuralı yazacağımızı bilerek hareket edersek maksimum fayda sağlayacaktır. Yazımı okuyan kişilere faydalı olması dileğiyle, güvenli günler dilerim.


Referance:
https://www.bleepingcomputer.com/news/security/australia-bushfire-donors-affected-by-credit-card-skimming-attack/
https://us.norton.com/internetsecurity-emerging-threats-what-is-formjacking.html
https://furkancaliskan.com/hunting-magecart-using-osint/
https://twitter.com/MBThreatIntel/status/1215693928764063744
https://nerdydata.com/reports/atmzow/f9e3bf6e-a6e5-47d5-bbf0-876d9bb62ca5
https://publicwww.com/websites/ATMZOW/
https://www.symantec.com/blogs/threat-intelligence/formjacking-attacks-retailers
https://urlscan.io/result/3716c66d-2edc-49ce-aa5e-978fa9965586/
https://sitecheck.sucuri.net/results/www.cicihot.com
https://geekflare.com/magento-security-scanner/
https://www.magereport.com/scan/?s=https://www.cicihot.com/
https://magentary.com/magento-security-patch-tester/
https://webscan.foregenix.com/webscan_results.html?scanid=38538c39_597b_4a24_a2b1_32c6d6f9a43d&emailaddress=test1111@yopmail.com
https://github.com/steverobbins/magescan
http://getcreditcardinfo.com/generatevisacreditcard.php
https://www.virustotal.com/gui/domain/www.cicihot.com/details
https://www.mertsarica.com/magecart-analizi/
https://paste.ubuntu.com/p/mKrXwz6nPv/
https://codebeautify.org/jsviewer
http://ddecode.com/hexdecoder/?results=b839d8dd56b99e40528d7af24e2568fb
https://twitter.com/search?q=103.139.113.34&src=typed_query
https://blog.malwarebytes.com/threat-analysis/2019/12/hundreds-of-counterfeit-online-shoe-stores-injected-with-credit-card-skimmer/
https://www.threatminer.org/host.php?q=103.139.113.34
https://twitter.com/jknsCo/status/1201837540191457281
https://blog.trendmicro.com/trendlabs-security-intelligence/fin6-compromised-e-commerce-platform-via-magecart-to-inject-credit-card-skimmers-into-thousands-of-online-shops/
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/anyone-can-check-for-magecart-with-just-the-browser/

2 yorum :

Blog Arşivi