Excel Belgesiyle Güvenlik Sistemlerini Atlatan Bir Prosedür Bu

Hackerların sistemlere girebilmek için kullandıkları sistemler bazen sahiden şaşkınlık yaratabiliyor. Yeniden bu şaşkınlık yaratan metotlardan yeni bir tanesi daha keşfedildi. Bir berbat gayeli yazılım kümesi, ziyanlı Excel belgeleri oluşturdu. Oluşturulan bu belgelerin tespit edilme oranı bir epey düşükken güvenlik sistemlerini atlatma oranı da bir o kadar yüksek.

NVISO Lab’deki güvenlik araştırmacıları tarafından keşfedilen Epic Manchego isimli bu berbat gayeli yazılım kümesi, haziran ayından bu yana faal ve ziyanlı Excel belgeleri içeren e-postalarla dünya genelindeki şirketleri amaç alıyor. NVISO tarafından yapılan açıklamaya nazaran bunlar, standart Excel tabloları değil. Bu ziyanlı Excel belgeleri, güvenlik tarayıcılarını atlatabiliyor.

Ziyanlı Excel belgeleri

NVISO Lab’e nazaran güvenlik tarayıcılarını atlatabilmelerinin sebebi, standart Microsoft Office yazılımlarıyla değil EPPlus ismi verilen .NET kütüphanesiyle derlenmeleri. Bu kütüphane, birçok formatta tablo oluşturmak için kullanılabiliyor ve hatta Excel 2019’u da destekliyor. NVISO, Epic Manchego tarafından oluşturulan Office Open XML (OOXML) tablolarında, Microsoft Office yazılımlarında derlenen Excel dokümanlarına özel olarak bulunan derlenmiş VBA kodunun yer almadığını söyledi.

Bu derlenmiş VBA kodu, ekseriyetle saldırganın ziyanlı kodunun bulunduğu yer oluyor. NVISO, Epic Manchego’nun ziyanlı kodlarını özel bir VBA formatında depoladığını ve bunun da şifreli olduğunu, bu sayede güvenlik sistemlerini ve içeriği tahlil eden araştırmacıları atlatabildiğini söz ediyor. Ayrıyeten bu ziyanlı Excel dokümanlarını oluşturmak için farklı bir metot kullanılsa da EPPlus tabanlı tablolar rastgele bir Excel dokümanı üzere çalışıyor.

Ziyanlı dokümanlar, ziyanlı makro kodları içerisinde barındırıyor. Şayet ki Excel belgesini açan kullanıcı, düzenlemeyi etkinleştir butonuna tıklarsa bu makro kodlar, ziyanlı yazılımı kurbanın bilgisayarını indirip yüklüyor. Son olarak Azorult, AgentTesla, Formbook, Matiex ve njRat üzere bilgi çalan Truva atı virüsleri kullanıcının tarayıcılarını, e-postalarını ve FTP istemlerini Epic Machengo’nun sunucularına gönderiyor.

Ziyanlı Excel evrakları oluşturmak için EPPlus kullanmak başlangıçta Epic Manchego’nun faydasına olsa da uzun vade de kümenin aleyhine işliyor. Tuhaf Excel belgeleri taranarak Epic Manchego’nun geçmişteki operasyonları takip edilebiliyor. NVISO da bu sistemle Epic Manchego kümesiyle bağlı 200’den fazla ziyanlı Excel belgesi tespit etti. Bu evrakların birincisinin ise 22 Haziran tarihli olduğu keşfedildi.

NVISO, kümenin bu teknikte tecrübe kazandığını ve birinci ataktan sonra hem hücumlarını hem de taarruzlarının karmaşıklığını artırdıklarını tabir etti. Ayrıyeten bu akınlarının gelecekte daha geniş bir kullanım alanı bulabileceğini de lisana getirdi.