Ambargo Fidye Yazılımı Aktörleri Güvenlik Çözümlerini Devre Dışı Bırakmak İçin Güvenli Modu Kötüye Kullanıyor


Ambargo Fidye Yazılımı Aktörleri Güvenlik Çözümlerini Devre Dışı Bırakmak İçin Güvenli Modu Kötüye Kullanıyor

Güvenli Mod bir işletim sistemi tanılama modudur. Öncelikle yalnızca gerekli “sürücüleri” ve “hizmetleri” yükleyerek sorunları gidermek için kullanılır.

Güvenli Mod’da sistem minimum işlevsellikle çalışır, bu da sistem “kararsızlığı” ve “performans” sorunlarının “temel nedenlerini izole etmeyi” kolaylaştırır.

Hizmet Olarak SIEM

ESET araştırmacıları yakın zamanda Embargo fidye yazılımı aktörlerinin güvenlik çözümlerini devre dışı bırakmak için Güvenli modu aktif olarak kötüye kullandığını tespit etti.

Ambargo Fidye Yazılımı Aktörleri Güvenli Modu Kötüye Kullanıyor

Embargo fidye yazılımı ilk olarak Haziran 2024’te Rust tarafından programlanan iki özel araç kullanılarak tespit edildi.

Free Webinar on Protecting Websites & APIs From Cyber Attacks -> Join Here

Aşağıda Rust tarafından programlanan bu iki özel araçtan bahsettik: –

  • MDeployer (kötü amaçlı bir yükleyici)
  • MS4Killer (bir Uç Nokta Tespit ve Yanıt katili)

Bu “RaaS” grubu, esas olarak her kurbanın ortamına göre uyarlanmış “özel olarak derlenmiş araçlar” kullanarak özellikle “ABD şirketlerini” hedef alıyor.

MDeployer yürütmesi (Kaynak – WeLiveSecurity)

Saldırı dizisi, genellikle “RC4 şifreleme anahtarı” kullanarak iki şifrelenmiş önbellek dosyasının (“a.cache” ve “b.cache”) şifresini çözen “Perf_sys” adlı “zamanlanmış görev” aracılığıyla dağıtılan “MDeployer” ile başlar.

MDeployer yürütme akışı (Kaynak – WeLiveSecurity)

ESET, MDeployer’ın daha sonra güvenlik çözümlerini devre dışı bırakmak için “BYOVD” adı verilen bir teknik aracılığıyla savunmasız imzalı bir sürücüden (“probmon.sys” v3.0.0.4) yararlanan MS4Killer’ı yüklediğini söyledi.

“MS4Killer” sistemin güvenliğini başarıyla tehlikeye attıktan sonra “MDeployer”, dosyaları rastgele “altı harfli onaltılık uzantılarla” (“.b58eeb” gibi) şifreleyen Embargo fidye yazılımı yükünü dağıtır ve “HOW_TO_RECOVER_FILES” başlıklı bir “fidye notu” bırakır. Her şifrelenmiş dizinde .txt” bulunur ve “IntoTheFloodAgainSameOldTrip” adında bir “mutex” (sistem senkronizasyon nesnesi) oluşturur.

Ambargo fidye notu (Kaynak – WeLiveSecurity)

Grup çifte gasp stratejisi uyguluyor. Ayrıca çalınan verileri sızıntı sitesinde yayınlamakla tehdit ediyor ve altyapısı ve “Tox protokolü” aracılığıyla iletişim seçenekleri sunuyor.

Bu, “BlackCat” ve “LockBit” gibi diğer büyük fidye yazılımı gruplarındaki kesintilerin ardından ortaya çıkan, iyi kaynaklara sahip ve teknik açıdan gelişmiş bir operasyonu gösteriyor.

Bunun yanı sıra “MS4Killer”, ikili kodundaki üç kritik bileşeni gizlemek için “XOR şifresi” tekniğini kullanan karmaşık bir şifreleme stratejisi uyguluyor.

Üç kritik bileşen, “mesaj dizelerinin günlüğe kaydedilmesi”, “bir RC4 şifreleme anahtarı (özellikle ‘FGFOUDa87c21Vg+cxrr71boU6EG+QC1mwViTciNaTUBuW4gQbcKboN9THK4K35sL’),” “hedef işlem adlarının bir listesidir.”

Dağıtıldığında, süreç manipülasyonu için Windows API işlevi “OpenProcessToken”ı kullanır ve bu gizli dizeleri ortaya çıkarmak için özel bir şifre çözme işlevi içerir.

Araç, ‘probmon.sys’ adlı güvenlik açığı bulunan bir sürücüyü, üç aygıt aracılığıyla yönetilen iki belirli konuma (“C:\Windows\System32\drivers\Sysprox.sys” veya “C:\Windows\Sysmon64.sys”) dağıtarak çalışır. hizmet takma adları: –

Bu sürücü başlangıçta “XOR şifrelemesi” kullanılarak daha da güvenli hale getirilen “RC4 şifreli blob” olarak depolanır.

Kötü amaçlı yazılımın birincil işlevi, sürücü yönetimi için “SeLoadDriverPrivilege” ve hizmet oluşturma için “CreateServiceW” API’sini kullanarak güvenlik yazılımı işlemlerini sürekli olarak izlemeyi ve sonlandırmayı içerir.

Ancak bu, “HKLM\SYSTEM\ControlSet001\services” yolundaki “stratejik kayıt defteri değişiklikleri” yoluyla işlemlerini sürdürürken yapılır.

Free Webinar on How to Protect Small Businesses Against Advanced Cyberthreats -> Watch Here



Source link