Tehdit aktörlerinin fidye yazılımı dağıtmadan önce işletmeler tarafından kullanılan uç nokta algılama ve müdahale (EDR) savunmalarını devre dışı bırakmak için kullandığı “AuKill” siber suç aracı ortaya çıktı. Sistemlere sızmak için kötü amaçlı aygıt sürücülerini kullanır.
Son zamanlarda meydana gelen iki olayda, Sophos’tan araştırmacılar Medusa Locker fidye yazılımını dağıtmadan önce AuKill kullanan bir düşman gözlemlediler; başka bir sefer, güvenlik satıcısı, LockBit fidye yazılımını yüklemeden önce zaten güvenliği ihlal edilmiş bir sistemde EDR katilini kullanan bir saldırgan keşfetti.
Sophos’ta tehdit araştırması üst düzey yöneticisi Christopher Budd, eğilimin EDR araçlarının artan etkinliğine bir yanıt olduğunu söylüyor. “Tehdit aktörleri, EDR ajanlarının güvenlik tedarikçilerine saldırıları tespit etmede önemli bir avantaj sağladığını fark etmeye başlıyor” diyor. “Tehdit aktörleri, kendilerine en çok sorun çıkaran araçları hedefliyor.”
Saldırılar, Sophos, Microsoft, Mandiant ve SentinelOne’ın Aralık ayında bildirdiği, tehdit aktörlerinin zaten güvenliği ihlal edilmiş sistemlerde güvenlik ürünlerini devre dışı bırakmak için özel olarak oluşturulmuş sürücüler kullandığı ve onları diğer açıklardan yararlanmaya açık bıraktığı bir dizi olaya benziyor.
Bu saldırılarda tehdit aktörleri, Microsoft’u dijital olarak imzalaması için kandırdıkları ve bu nedenle meşru görünmelerini sağlayan kötü amaçlı sürücüler kullandı. Diğer sürücü saldırılarında, tehdit aktörleri, fidye yazılımı yürütmek, ayrıcalıkları yükseltmek ve güvenlik kontrollerini atlamak için meşru bir aygıt sürücüsündeki bir güvenlik açığından yararlandı. Bazı güvenlik sağlayıcıları ve araştırmacıları, tekniğe genellikle “kendi savunmasız sürücünüzü getirin” veya BYOVD saldırısı olarak atıfta bulunur.
Aukill’in kendisi, BYVOD kategorisine giren bir araçtır. EDR işlemlerini devre dışı bırakmak için Microsoft’un İşlem Gezgini 16.32’nin kullandığı bir sürücünün meşru ancak eski ve istismar edilebilir bir sürümünden yararlanır.
Kendi Savunmasız Sürücünüzü Getirin
AuKill’in diğer sürücüler gibi yararlandığı savunmasız Process Explorer sürücüsü, kurulu sistemlerde ayrıcalıklı erişime sahiptir ve çalışan süreçlerle etkileşim kurabilir ve bunları sonlandırabilir.
Kullanıcıların bir sistem üzerinde çalışan tüm işlemler, yürütülebilir yolları, performans ölçümleri ve diğer bilgiler hakkında ayrıntılı bilgi almalarını sağlayan ücretsiz bir araçtır. Gerçek zamanlı sistem etkinliğini izlemek için birden fazla özellik sunar, süreçlere öncelik verir, süreçleri tanımlar ve sonlandırır ve diğer işlevleri yürütür.
Budd, Sophos’un gözlemlediği son fidye yazılımı saldırılarında, tehdit unsurunun aracı halihazırda erişim sağladıkları sistemlere yerleştirdiğini söylüyor. AuKill bir sisteme girdikten sonra, Process Explorer’ın 16.32 yayın sürümünden PROCEXP.SYS adlı bir sürücüyü Process Explorer sürücüsünün (PROCEXP152.sys) yasal sürümüyle aynı konuma bırakır.
” [legitimate] Process Explorer sürücüsü v.16.32, işlevselliğini ana Process Explorer yürütülebilir dosyasıyla çalışmakla sınırlamaz,” diyor Budd. “Böylece diğer programlar, işlevselliğinden yararlanmak için sürücüye API çağrıları gönderebilir.” AuKill’in durumunda, araç kötüye kullanılıyor EDR’yi ve güvenliği ihlal edilmiş bilgisayardaki diğer güvenlik kontrollerini kapatma talimatlarını yürütmek için meşru sürücü “Proses Gezgini’nin çalışan programları sonlandırmasına izin veren İşlem Gezgini sürücüsündeki mevcut işlevsellikten yararlanıyorlar” diyor.
Sophos şimdiye kadar AuKill’in altı farklı sürümünü analiz etti ve her yeni sürümde bazı önemli değişiklikler olduğunu fark etti. Örneğin, daha yeni sürümler artık sonlandırmak için daha fazla EDR sürecini ve hizmetini hedefliyor. Ayrıca, sonlandırılan süreçlerin yeniden başlatma denemelerinde bu şekilde kalmasını sağlamak için EDR işlemlerini ve hizmetlerini sürekli olarak araştıran bir özellik içerirler. Budd, kötü amaçlı yazılım yazarlarının, AuKill’in kendisini yanıt olarak sonlandırılmaktan korumak için aynı anda birden çok iş parçacığı çalıştırmasını sağlayarak AuKill’i daha sağlam hale getirecek özellikler eklediklerini söylüyor.
Sophos’un AuKill analizi, Haziran 2021’de ortaya çıkan ve EDR araçlarını öldürmek için Process Explorer sürücüsünü kötüye kullanan bir açık kaynak aracı olan BackStab ile kodda benzerlikler içerdiğini gösterdi. Şirketin araştırmacıları, geçtiğimiz Kasım ayında sistemlerde EDR’yi devre dışı bırakmak için BackStab kullanan bir LockBit aktörü tespit etmişti.