GootLoader zararlısı, 2020’den beri aktif olan ve özellikle SEO zehirleme ve kötü amaçlı reklam kampanyalarıyla yaygınlaşan bir yükleyici olarak biliniyor. Son zamanlarda yapılan analizler, tehdit aktörlerinin tespitten kaçmak için daha sofistike yöntemler geliştirdiğini ortaya koydu. Bunlardan en dikkat çekeni, 500 ila 1.000 arşivin birleştirildiği bozuk ZIP arşivlerinin kullanılmasıdır.
Saldırı Zinciri ve Teknik Detaylar
GootLoader kampanyalarında, kullanıcılar genellikle ele geçirilmiş WordPress sitelerine yönlendirilerek zararlı ZIP dosyalarını indiriyor. Bu ZIP arşivleri, özel olarak kısaltılmış merkezi dizin sonu (EOCD) kayıtları ve rastgele değerlerle oluşturuluyor. Bu durum, WinRAR veya 7-Zip gibi popüler açma araçlarının dosyayı açmasını engellerken, Windows’un varsayılan ZIP açma aracı dosyayı sorunsuzca açabiliyor. Böylece, güvenlik sistemlerinin otomatik analizleri atlatılıyor.
İndirilen ZIP dosyası, XOR kodlu bir blob olarak teslim ediliyor ve istemci tarafında (kurbanın tarayıcısında) çözümlenerek kendine tekrar tekrar ekleniyor. Bu yöntem, dosyanın iletim sırasında tespit edilmesini zorlaştırıyor. Kullanıcı dosyaya çift tıkladığında, Windows Dosya Gezgini ZIP klasörünü açıyor ve içindeki JavaScript dosyasını gösteriyor. Bu dosya “wscript.exe” aracılığıyla geçici bir klasörden çalıştırılıyor ve kalıcılık sağlamak için Başlangıç klasörüne LNK dosyası yerleştiriyor. Ardından, ikinci bir JavaScript dosyası “cscript.exe” ile çalıştırılarak PowerShell komutlarıyla enfeksiyonun sonraki aşamaları tetikleniyor.
Hangi Sistemler Risk Altında?
GootLoader, özellikle WordPress tabanlı siteler ve bu siteleri ziyaret eden kullanıcıları hedef alıyor. SEO zehirleme ve kötü amaçlı reklamlar yoluyla yayılması, geniş bir kullanıcı kitlesini etkileyebilir. Kurumsal ortamlarda, özellikle e-posta güvenliği zayıf olan ve kullanıcıların indirilen içeriklere karşı yeterince bilinçlendirilmediği durumlarda risk artıyor. Ayrıca, Windows sistemlerinde “wscript.exe” ve “cscript.exe” gibi script çalıştırma araçlarının kontrolsüz kullanımı, saldırının başarı şansını yükseltiyor.
Siber Güvenlik Ekipleri İçin Öneriler
- “wscript.exe” ve “cscript.exe” uygulamalarının indirilen içerikleri çalıştırmasını Grup İlkesi Nesneleri (GPO) ile engelleyin.
- JavaScript dosyalarının varsayılan olarak Not Defteri gibi düzenleyicilerde açılmasını sağlayarak otomatik çalıştırmayı önleyin.
- EDR ve SIEM sistemlerinde ZIP dosyalarının açılması ve içeriğinin analiz edilmesi için özel kurallar oluşturun.
- GootLoader gibi yükleyicilerin kullandığı hashbusting tekniklerini tespit etmek için dosya indirme ve açma süreçlerini detaylı loglayın.
- Phishing ve kötü amaçlı reklam kampanyalarına karşı e-posta güvenliği çözümlerini güncel tutun ve kullanıcı eğitimleri düzenleyin.
- PowerShell kullanımını kısıtlayarak, sadece gerekli komutların çalışmasına izin veren politikalar uygulayın.
- Ağ segmentasyonu ile kritik sistemleri dış tehditlerden izole edin ve anormal trafik davranışlarını izleyin.
- Olay müdahale (incident response) planlarınızı GootLoader benzeri saldırı senaryolarına göre güncelleyin.
Teknik Özet
- Kullanılan zararlılar ve araçlar: GootLoader yükleyicisi, JavaScript zararlıları, PowerShell betikleri.
- Hedef sektörler ve bölgeler: Küresel, özellikle WordPress kullanan web siteleri ve bunların ziyaretçileri.
- Kullanılan zafiyetler: ZIP arşiv formatının bozuk oluşturulması ve hashbusting teknikleri.
- Saldırı zinciri: SEO zehirleme/kötü amaçlı reklam → bozuk ZIP indirme → Windows varsayılan açma aracı ile JavaScript çalıştırma → kalıcılık için LNK dosyası oluşturma → PowerShell ile ikinci aşama yükleme.
- Önerilen savunma yaklaşımları: Grup Politikası ile script çalıştırma kısıtlaması, EDR ve SIEM entegrasyonu, kullanıcı eğitimi, ağ segmentasyonu ve güncel e-posta güvenliği.
GootLoader’ın yeni gizleme teknikleri, özellikle otomatik analiz araçlarını atlatması nedeniyle siber güvenlik ekiplerinin dikkatini çekiyor. Bu gelişmeler, fidye yazılımı ve diğer zararlı yazılım türlerinin dağıtımında kullanılan yükleyicilerin evrimine işaret ediyor. Kuruluşların, bu tür saldırılara karşı çok katmanlı savunma stratejileri geliştirmesi önem taşıyor.