Visual Studio Code, yazılım geliştiricilerin uzaktan çalışmasına imkan tanıyan güçlü araçlardan bir tanesidir. Ancak son dönemde, bu popüler Microsoft aracı, siber saldırganlar tarafından kötüye kullanılmaya başlandı. Özellikle Çinli hacker gruplarının, Visual Studio Code tünellerini kullanarak hedef sistemlere uzaktan erişim sağladığı ve bu yolla uzun süreli arka kapı erişimi oluşturduğu tespit edildi. Bu tür saldırılar, güvenilir bir yazılımın zararlı amaçlarla kullanılmasının nadir örneklerinden biri oldu.
Hackerlar Nasıl Erişim Sağlıyor?
Visual Studio Code tünelleri, Microsoft’un uzaktan geliştirme (Remote Development) özelliğiyle bilinir. Geliştiriciler, bu tünelleri kullanarak uzaktaki sistemlere güvenli bir şekilde erişebilir ve komut çalıştırabilir. Hackerlar, tünel özelliğini ele geçirerek sistemlere zararlı yazılımlar yükleyerek sistemlere sürekli erişim sağlamayı başardı.
Çinli hackerlar, büyük IT hizmet sağlayıcılarını hedef alırken, ilk aşamada SQL enjeksiyonu yaparak internet üzerinden açıkta bulunan web ve veritabanı sunucularına sızdılar. Bunun için SQLmap adlı bir otomatik aracın kullanıldığı tespit edilmiştir. Hackerlar, bu aracı kullanarak sistemlere ilk erişimi sağladıktan sonra, PHPsert adında bir PHP tabanlı webshell yerleştirdiler. Bu sayede uzaktan komut çalıştırma ve daha fazla kötü amaçlı yazılım yükleme imkanı elde ettiler.
Sisteme girdikten sonra, yatay hareketler için RDP (Remote Desktop Protocol) ve Mimikatz gibi araçlarla kimlik bilgileri çalmaya başladılar. Mimikatz özel bir sürümü olan bK2o.exe ile, sistemlerdeki kullanıcı bilgilerini ele geçirip genişlemeye devam ettiler.
Sisteme girdikten sonra, hackerlar Visual Studio Code kullanarak tüneller oluşturdu. Bu, Visual Studio Code tünel parametresi sayesinde mümkün oldu. winsw aracı ile Visual Studio Code’u taşınabilir bir uygulama olarak kurup, onu sürekli çalışan bir Windows servisi haline getirdiler. Bu, hackerların tünel aracılığıyla sürekli olarak uzaktan erişim sağlamasına olanak tanıdı.
Hacklerar Visual Studio Code tünelleri üzerinden bağlanarak uzaktan komut çalıştırabiliyor ve dosya sistemine erişim gerçekleştirdi. Bu tüneller, Microsoft Azure üzerinden yönlendirildiği için, tüm bağlantılar Microsoft’un altyapısı üzerinden yapıldı ve normalde güvenlik araçları bu trafiği tespit edemedi. Hackerlar, bu tünelleri genellikle Çin iş saatlerine denk gelen zaman diliminde aktif olarak kullandılar.
Özellikle, Visual Studio Code gibi yaygın bir geliştirme aracının kötüye kullanılması, güvenlik uzmanları için ciddi bir tehdit oluşturuyor. Çünkü bu araç, doğal olarak güvenli bir yazılım olarak algılandığı için, tünelleri kullanan saldırganların tespit edilmesi oldukça zorlaşıyor.
Saldırılara Karşı Nasıl Güvenlik Önlemi Alınmalı?
Bu tür siber tehditler karşısında savunma yaparken, ağ yöneticilerinin ve güvenlik uzmanlarının dikkat etmesi gereken birkaç kritik nokta bulunuyor;
- Visual Studio Code Başlatmalarını İzleme: Şüpheli Visual Studio Code başlatmalarını izlemek, saldırganların kötüye kullanımını tespit etmenin ilk adımıdır. Bu tür tünellerin kullanımı, genellikle büyük bir sistemde belirgin olmayan bir şekilde gerçekleşir.
- Uzaktan Tünel Kullanımını Sınırlama: Visual Studio Code gibi gelişmiş araçların uzaktan kullanımını yalnızca yetkili çalışanlarla sınırlamak, potansiyel tehlikeleri önlemenin etkili yollarından biridir. Bu sayede yalnızca güvenilir kişiler tarafından erişim sağlanabilir.
- Taşınabilir Dosyaların Engellenmesi: code.exe gibi taşınabilir dosyaların çalıştırılmasını engellemek için sistemde sıkı bir listeleme ve beyaz listeleme (allowlist) uygulanmalıdır. Böylece, yetkisiz araçların kullanımının önüne geçilebilir.
- Ağ Günlüklerini İzleme: Visual Studio Code tünellerinin kullanımı, belirli alan adları üzerinden yapılır. Bu nedenle, ağ günlüklerini inceleyerek devtunnels.ms gibi domainlere yapılan bağlantıları tespit etmek faydalı olacaktır.
- Windows Hizmetlerini İzleme: code.exe’nin Windows hizmetlerinde çalışıp çalışmadığını kontrol etmek, bu tür saldırıları tespit etmenin bir diğer önemli yöntemidir.
Visual Studio Code tünelleri, hackerlar tarafından uzaktan erişim sağlamak için nadir görülen bir yöntem olarak kullanılıyor. Bu saldırı, Microsoft’un güvenli bir araç olarak sunduğu Visual Studio Code’un, kötü niyetli saldırganlar tarafından nasıl istismar edilebileceğini bizlere gösteriyor. Şirketlerin, bu tür tehditlere karşı hazırlıklı olmaları ve gerekli güvenlik önlemlerini alarak sistemlerini korumaları büyük önem taşıyor.
Bu tür saldırılara karşı korunmak için sistem yöneticilerinin, Visual Studio Code tünellerinin kullanımını izlemeleri, güvenlik politikalarını güncellemeleri ve ağ trafiğini sürekli olarak denetlemeleri öneriliyor. Böylece hackerların gizlice sisteme sızmalarının önüne geçilebilir.