Fidye yazılımı, gizlilik ve kaçırma için Windows saldırılarında arazide yaşayan araçları kullanır. PowerShell veya Windows Yönetim Araçları (WMI) gibi meşru, yerleşik araçlardan yararlanarak normal sistem etkinliklerine uyum sağlayabilirler.
Bu gizli hareket, güvenlik önlemlerinin kötü niyetli eylemlerini tespit etmesini ve engellemesini zorlaştırıyor. Bu süreç, hedeflenen sistemlerde halihazırda mevcut olan güvenilir araçlardan yararlanarak fidye yazılımı kampanyalarının etkinliğini artırır.
Symantec’teki siber güvenlik araştırmacıları yakın zamanda Alpha fidye yazılımının Windows bilgisayarlara saldırmak için arazide yaşayan araçları kullandığını keşfetti.
Şubat 2023’te ortaya çıkan yeni fidye yazılımı Alpha, Ocak 2021’de kanun yaptırımı sonrasında ortadan kaybolan eski NetWalker’a benziyor. Ancak Alpha son zamanlarda saldırılarını yoğunlaştırdı.
Alpha, NetWalker kodunu yansıtır ve her ikisi de, yüklerinde çakışan gerçek kodu öne çıkararak yük teslimi için bir PowerShell yükleyici kullanır.
Canlı saldırı simülasyonu Web Semineri, hesap ele geçirmenin çeşitli yollarını gösterir ve web sitelerinizi ve API’lerinizi ATO saldırılarına karşı korumaya yönelik uygulamaları gösterir.
Yerinizi Ayırın
- Her iki veri için de ana işlevsellik yürütme akışının ana hatlarını çizin.
- Tek iş parçacığı süreci ve hizmet sonlandırmayı yönetir.
- Farklı karmalara ancak benzer bir listeye sahip çözümlenmiş API’ler.
- Benzer yapılandırmalar, atlanan öğeler, işlemler ve hizmetlerin listelerini içerir.
- Geçici toplu iş dosyası şifreleme sonrası kendi kendini silme.
- Ödeme portallarının “Giriş için lütfen kullanıcı kodunu kullanın” mesajıyla eşleştirilmesi.
%20and%20Alpha%20(right)%20(Source%20-%20Symantec).webp)
Aşağıda, NetWalker ve Alpha’nın öldürülecek işlemlerinin tüm aynı listesinden bahsettik: –
.webp)
Alpha, Şubat 2023’te sessizce ortaya çıktı ancak şimdi bir veri sızıntısı sitesini açığa çıkararak operasyonları hızlandırıyor. Son Alfa saldırıları, arazi dışında yaşama araçlarının yoğun şekilde kullanıldığını gösteriyor.
Aşağıda, arazide yaşamanın tüm araçlarından bahsettik: –
- Görev Öldürme: Bir veya daha fazla görevi veya işlemi sonlandırabilen Windows komut satırı aracı.
- PsExec: Diğer sistemlerde işlemleri yürütmek için Microsoft Sysinternals aracı. Saldırganlar bu aracı öncelikle kurban ağlarında yatay olarak hareket etmek için kullanır.
- Net.exe: IPv6 protokolünü durdurabilen ve başlatabilen Microsoft aracı.
- Reg.exe: Yerel veya uzak bilgisayarların kayıt defterini düzenlemek için kullanılabilecek Windows komut satırı aracı.
NetWalker, 27,6 milyon dolarlık gelir elde eden ilk fidye yazılımı dalgasına öncülük etti. Bir kolluk kuvveti molasından sonra, gitmiş görünüyordu.
Ancak Alpha’nın benzerliği, orijinal geliştiriciler veya fidye yazılımı girişimleri için NetWalker’ın yükünü değiştiren yeni saldırganlar tarafından bir yeniden canlanmanın sinyalini veriyor.
IoC’ler
- 46569bf23a2f00f6bac5de6101b8f771feb972d104633f84e13d9bc98b844520 – PowerShell yükleyici
- 6462b8825e02cf55dc905dd42f0b4777dfd5aa4ff777e3e8fe71d57b7d9934e7 – PowerShell yükleyici
- 6e204e39121109dafcb618b33191f8e977a433470a0c43af7f39724395f1343e – PowerShell yükleyici
- 89bfcbf74607ad6d532495de081a1353fc3cf4cd4a00df7b1ba06c10c2de3972 – PowerShell yükleyici
- e43b1e06304f39dfcc5e59cf42f7a17f3818439f435ceba9445c56fe607d59ea – PowerShell yükleyici
- e573d2fec8731580ab620430f55081ceb7153d0344f2094e28785950fb17f499 – Alfa fidye yazılımı yükleyicisi
- e68dd7f20cd31309479ece3f1c8578c9f93c0a7154dcf21abce30e75b25da96b – Alfa fidye yazılımı yükleyicisi
- ab317c082c910cfe89214b31a0933eaab6c766158984f7aafb9943aef7ec6cbb – Alfa fidye yazılımı yükleyicisi
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.