By Biznet Bilişim A.Ş.

OilRig [Mart 2019]

Referanslar:
https://misterch0c.blogspot.com/2019/04/apt34-oilrig-leak.html?spref=tw
https://www.nyotron.com/wp-content/uploads/2018/03/Nyotron-OilRig-Malware-Report-March-2018C.pdf

Uyarı:
Alınacak tüm aksiyonlar ve kısıtlamalar kurum özelinde dikkatle uygulanmalı ve olası etkileri için ön inceleme yapılmalıdır.

Not:
Bu yazı mevcut analizler referans alınarak alınabilecek öncelikli aksiyonları Türkçe olarak paylaşmak amacıya hazırlanmıştır.

OilRig farklı yöntemlerle aktivitelerini sürdürüyor. Geçmiş yöntemlerinden farklı olarak yeni veri kaçırma yöntemleri geliştirildiği görülmektedir. Aşağıda güncel saldırı izi, TTPs, IOCs ve ilk yapılabilecekler sunulmuştur.


Güncel saldırı izi hakkında ana akış aşağıdaki gibidir.
Adım 1: İç ağlara erişimi yetkisi olan üçüncü partiler üzerinden yerel ağa erişim
Adım 2: RAT(Remote Access Trojan) ve Kalıcılık
Adım 3: Yetki Yükseltme (Mimikatz ve EternalBlue)
Adım 4: Yerel bilgi toplama, zafiyet ve servis arama
Adım 5: Letaral hareket, elde edilen hesaplarla yeni hostları ele geçirme
Adım 6: Kritik sunucu ve istemcilerden bilgi kaçırma
Kullanılan dağıtım noktaları
Dropbox
Degoo
Files fm
File ac
Özel liste için IOC listesi incelenmelidir.
İlgili sunucularda;

Öncelikle IoC listesi incelenerek zararlı aktive izi sürülmelidir. Ek olarak;


1-Geçmişe yönelik aşağıdaki domain’e erişimler kontrol edilmelidir.
IOC listesi aşağıda dikkatinize sunulmuştur.

2- PowerShell devre dışı bırakılabilir.
IOC listesinde yer alan PS ve path/folder’lar kontrol edilmelidir.

3- VB scipts devre dışı bırakılabilir.

4- IOC’de verilen liste, path ve uygulamalar kontrol edilmelidir.

5- Powershell zararlısı YARA Kuralı
https://github.com/Neo23x0/signature-base/blob/master/yara/apt_oilrig.yar#L247
Ticari AV’lerin imzası gün içerisinde eklenmeye başlamıştır. AV’ler güncellenmelidir.

6- Scheduled task’lar kontrol edilmeli

7- Sunucular üzinde InternetExplorer kaldırılabilir, WMI kullanımında kısıtlamaya gidilebilir.

8- Webshell kontrol
İlgili listeye ek olarak anormal istek gerçekleştirilen tüm aspx dosyaları kontrol edilmelidir.

Extented IoC List
Ekte/Aşağıda dikkatinize sunulmuştur.