İlk olarak Ekim 2024’te gözlemlenen sofistike bir kampanyada, saldırganlar uzlaşmış ağlarda antivirüs yazılımını devre dışı bırakmak için meşru bir sürücüden yararlanmaya başladı.
CPU kısaltmayı yönetmek için TechPowerup tarafından ortak olarak tasarlanan Throttlestop.sys sürücüsünü kötüye kullanarak – kötü amaçlı yazılım, güvenlik süreçlerini sonlandırmak için çekirdek seviyesi bellek erişimi kazanır.
İlk erişim çoğunlukla çalınan RDP kimlik bilgileri veya kaba güçlendirilmiş idari hesaplar aracılığıyla elde edilir, bu da düşmanın AV katilini Medusalocker gibi fidye yazılımı yüklerinin yanına dağıtmasına izin verir.
Securelist analistler, ağın içinde bir kez, tehdit aktörlerinin Mimikatz gibi araçlarla ek kullanıcı kimlik bilgilerini ayıkladığını ve invoke-wmiexec.ps1 veya invoke-smbexec.ps1 yoluyla hortum tekniklerini kullanarak yanal olarak hareket ettiğini belirtti.
Yanal hareketin ardından, saldırgan iki temel artefakt yükler – trottleblood.sys (yeniden adlandırılmış savunmasız sürücü) ve all.exe (AV katil) – kullanıcı dizinlerine C:\Users\Administrator\Music.
Windows Defender ve diğer uç nokta koruma platformları başlangıçta fidye yazılımı içerir, ancak AV Killer, sistemlerini hızla sonlandırır ve sistemleri savunmasız bırakır.
Kötü amaçlı yazılımların etkisi, özellikle maruz kalan RDP uç noktalarına sahip endüstrilerde ağır olmuştur. Brezilya, Ukrayna, Kazakistan, Belarus ve Rusya’daki kurbanlar, engelli savunma mekanizmaları tarafından engellenen kurtarma çabalarıyla kritik verilerin yaygın olarak şifrelemesini bildirdiler.
.webp)
Securelist araştırmacılar, Kaspersky ürünlerinde – bellek süreci koruması ve kayıt defteri değişiklik izleme gibi – geleneksel kendini savunma özelliklerinin bu AV katiline etkin bir şekilde karşı koyduğunu, ancak birçok kuruluşun daha az esnek çözümlere bağlı kaldığını belirlediler.
Korunmasız sürücü aracılığıyla enfeksiyon mekanizması
Bu AV katilinin kalbinde, keyfi fiziksel belleğe izin veren ve yazmasına izin veren Throttlestop.sys sürücüsünde iki savunmasız IOCTL fonksiyonunun sömürülmesi yatıyor.
.webp)
Servis Kontrol Yöneticisi API’sı aracılığıyla Throttleblood.sys’i yükledikten sonra, kötü amaçlı yazılım çağırıyor NtQuerySystemInformation ile SystemModuleInformation Yüklü modülleri numaralandırmak ve çekirdek taban adresini bulmak için bayrak.
SuperFetch tabanlı bir çeviri kütüphanesi kullanarak, sanal adresini dönüştürür NtAddAtom fiziksel bir adrese.
// Example IOCTL invocation to write kernel memory
DeviceIoControl(hDevice,
0x8010002C, // Vulnerable WRITE_IOCTL
&payload,
payloadSize,
NULL,
0,
&bytesReturned,
NULL);Fiziksel adres türetildikten sonra, all.exe, PsTerminateProcess.
Sürekli bir döngüde, kötü amaçlı yazılım süreçleri numaralandırır. Process32FirstW Ve Process32NextWher birini sert kodlanmış bir antivirüs yürütülebilir listesiyle eşleştirme – MsMpEng.exe (Windows Defender) ekrn.exe (ESET).
Bir maç bulduktan sonra çağırıyor PsLookupProcessById bir tutamaç elde etmek için PsTerminateProcess hizmeti öldürmek için.
.webp)
Her yürütmeden sonra orijinal çekirdek baytlarını geri yükleyerek, AV Killer sistem çökmelerini önler ve tespitten kaçınır.
Meşru sürücü kötüye kullanımı ve çekirdek seviyesi kod enjeksiyonunun bu zarif kombinasyonu, katı RDP politikaları, çok faktörlü kimlik doğrulama ve rutin güvenlik açığı taraması dahil olmak üzere sürücü bütünlüğü izleme ve savunma içinde derinlemesine stratejilere yönelik acil ihtiyacın altını çizmektedir.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın