Yeni bir bilgisayar korsanlığı aracı olan AuKill, tehdit aktörlerinin hedeflenen sistemlere arka kapılar ve fidye yazılımları dağıtarak BYOD saldırıları başlatması için Uç Nokta Algılama ve Yanıt (EDR) yazılımını devre dışı bırakır.
Sophos araştırmacıları, bir saldırganın ilk olarak Medusa Locker fidye yazılımını devreye aldığı iki olayda ve saldırganın zaten güvenliği ihlal edilmiş bir sistemde EDR katilini kullandıktan sonra LockBit fidye yazılımını yüklediği iki olayda AuKill kullanımına tanık oldu.
Tehdit aktörleri, bu saldırılarda güvenlik çözümlerini devre dışı bırakmak ve kurbanların cihazlarının kontrolünü ele geçirmek için çekirdek ayrıcalıklarına sahip, geçerli olarak imzalanmış sürücüleri kullanırken.
Teknik Analiz
AuKill kötü amaçlı yazılımı, Windows sürücüsünün (procexp[.]sistem) etkin Windows işlemlerinde veri toplamak için yaygın olarak kullanılan bir araç olan Microsoft’un İşlem Gezgini v16.32’nin yanında.
Ayrıcalık kazanmak için, halihazırda SİSTEM ayrıcalıklarıyla çalışıp çalışmadığını doğrular. Değilse, SİSTEM düzeyine yükseltmek için TrustedInstaller Windows Modülleri Yükleyici hizmetini taklit eder.
AuKill, güvenlik yazılımını devre dışı bırakmak için güvenlik süreçlerini ve hizmetlerini tekrar tekrar taramak ve sonlandırmak için birden fazla iş parçacığı başlatır.
AuKill, Backstab gibi güvenlik çözümlerini devre dışı bırakmak için güvenliği ihlal edilmiş cihazlarda ve sistemlerde bir Process Explorer sürücüsüne güvenir.
Yani ikisinin de pek çok benzerliği var; tek fark, AuKill’in Backstab’ın aksine açık kaynaklı bir araç olmamasıdır.
Sophos X-Ops, LockBit 3.0 (LockBit Black) araştırması sırasında en az bir saldırıda Backstab kullanan LockBit çetesini tespit etti.
Kötü amaçlı yazılım, parolayı veya anahtarı doğrulamak için basit bir aritmetik hesaplama kullanır.
Her karakterin ASCII kodunun ondalık değerini hesaplar, ikiye katlar, bir sonraki karakterin değerine ekler ve işlemi tekrarlar.
Ayrıca, EDR bileşenlerini devre dışı bırakmak için aşağıdaki işlevler kullanılır:-
- Procexp Yoluyla Sonlandır
- Zorla Sonlandırma
- Hizmetleri Devre Dışı Bırak
- Sürücüleri Kaldır
AuKill Zaman Çizelgesi
2023’ün başından bu yana araç, hedef korumayı devre dışı bırakmak ve fidye yazılımını yürütmek için üç fidye yazılımı olayında kullanıldı.
Saldırganlar, aracı kullandıktan sonra Ocak ve Şubat aylarında Medusa Locker fidye yazılımını dağıttı. Benzer şekilde, Şubat ayında bir saldırgan, AuKill’i kullandıktan hemen sonra Lockbit fidye yazılımı dağıttı.
Sophos araştırmacıları altı farklı versiyon topladılar ve üç ay boyunca işlevsel değişikliklerini izlediler.
Kolay tanımlama için Sophos’taki siber güvenlik araştırmacıları, kötü amaçlı yazılımın en eski yinelemesini AuKill V1, en son sürümü ise AuKill V6 olarak etiketledi.
EDR süreçlerini ve servislerini düzenli olarak denetleyerek canlanan süreçlerin çalışmasını engelleyen bir fonksiyona sahiptirler.
öneriler
Aşağıda, aşağıdaki tüm önerilerden bahsettik: –
- Uç nokta güvenlik ürününüzün kurcalamaya karşı koruma uyguladığından emin olun.
- Windows güvenlik rollerinizin doğru şekilde yapılandırıldığından emin olun.
- Sisteminizin her zaman güncel olduğundan emin olun.
- İşletim sisteminizin yanı sıra, bilgisayarınızın uygulamalarına ve araçlarına yönelik güncellemeleri düzenli olarak doğrulayın.
- Artık gerekli olmayan veya kullanılmayan eski araçları kaldırmayı düşünün.
- Sistemde savunmasız bir sürücüye sahip olmak, yasal sürücü kötüye kullanımına da izin verebilir.
- Meşru sürücü kötüye kullanımını önlemek için etkili bir güvenlik açığı yönetimi programı sağlayın.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin