Tehdit aktörleri, en azından Ekim 2024’ten beri yeni bir antivirüs (AV) katilini kullanıyor ve meşru obrottlestop.sys sürücüsünden yararlanmak için kendi savunmasız sürücü (BYOVD) taktiklerinizi getirmek için.
Kaspersky tarafından Win64.killav. Olarak tespit edilen bu kötü amaçlı yazılım AV süreçlerini sistematik olarak sonlandırır, Medusalocker varyantı (Trojan-Ransom.win32.paidmeme.) Gibi fidye yazılımı dağıtımının yolunu açar.
Olay, düşmanların Belçika’dan geçerli RDP kimlik bilgileri aracılığıyla bir SMTP sunucusuna ilk erişim elde etmesiyle başladı, zayıf şifre politikalarından yararlandı ve uzaktan erişimi maruz bıraktı.
Saldırı zinciri
Mimikatz’ı kullanarak saldırganlar NTLM karmalarını çıkardı ve invoke-wmiexec.ps1 gibi powerShell araçları ile hortum teknikleri yoluyla yanal hareket gerçekleştirdiler ve invoke-smbexec.ps1.
Bu komut dosyaları, ağ uç noktalarındaki yönetim gruplarına eklenen, tek tip parolalara sahip sıralı kullanıcı hesaplarının (örneğin, user1, user2) oluşturulmasını kolaylaştırdı.
AV Killer (All.exe) ve Ransomware (Haz8.exe) dahil olmak üzere eserler, posta sunucusundaki C: \ Users \ Administir \ Music gibi dizinlerde sahnelendi ve daha sonra tehlikeye girmiş makinelerde C: \ Users \ usern \ kullanılır.
Başlangıçta, Windows Defender bazı sistemlerdeki fidye yazılımlarını karantinaya aldı, ancak saldırganlar BYOVD yöntemini kullanarak hızla devre dışı bıraktı ve kontrolsüz şifreleme sağladı.
Bu zincir, AV çözümlerinin bile tespit edilmemiş sürücülere karşı korunmalara karşı durduğu derinlemesine savunma stratejilerindeki güvenlik açıklarının altını çiziyor.
Ancak Kaspersky’nin uç nokta güvenliği, bellek süreçlerini, kayıt defteri girişlerini ve dosyaları koruyan sağlam kendini savunma mekanizmalarıyla böyle kurcalamaya direndi.
Katilin teknik analizi
AV Killer, sürücünün çekirdek düzeyinde manipülasyon için güvenlik açıklarından yararlanan yeniden adlandırılmış, meşru bir şekilde imzalanmış bir tahtnlestop.sys sürücüsü (CVE-2025-7771) ve all.exe’den oluşur.
2020 yılında TechPowerup LLC tarafından bir Digicert sertifikası ile imzalanan sürücü, \. \ Throttlestop’ta bir cihaz oluşturur ve mmmapiospace aracılığıyla keyfi fiziksel bellek okumaları ve yazmaları için IOCTL işleyicilerini ortaya çıkarır.
All.exe, yönetici ayrıcalıkları ile sürücüyü OpenScmanagera ve StartServiceW gibi Servis Kontrol Yöneticisi API’lerini kullanarak yükler, ardından SystemModuleInformation ile NTQuerySyStemInformation aracılığıyla çekirdek taban adresini alır.
Superfetch tekniğini açık kaynaklı bir kütüphaneden kullanan, sanal adresleri SystemPuperFetchInformation sorgularını kullanarak fiziksel olanlara çevirir.
Rapora göre, kötü amaçlı yazılım, çekirdek kodunun üzerine yazan kabuk kodu enjekte ederek NTAddatom Syscall’ı, psokeupprocessbyid ve psterminatinprocess gibi fonksiyonların hedeflenen AV süreçlerini öldürmesi için dolaylı olarak çağrılmasına izin vererek kaçırıyor.
ALL.EXE listesi, avastsvc.exe (avast), msmpeng.exe (microsoft), avp.exe (kaspersky) ve diğerleri Bitdefender, Crowdstrike, ESET, McAfee, Symantec ve Sophos dahil olmak üzere büyük satıcılardan işlemleri listeliyor.
Process32Firstw ve Process32NextW ile tespit edildikten sonra, eşleşen işlemler bir döngüde sonlandırılır ve Defender gibi yeniden başlatmalara karşı koyulur.
Bu çekirdek kodu enjeksiyonu, kazaları önlemek için yürütme sonrası orijinal kodu geri yükleyerek ileri kaçınma gösteriyor.
Kurbanlar, fidye yazılım gruplarıyla bağları olan Rusya, Belarus, Kazakistan, Ukrayna ve Brezilya’yı kapsıyor.
Azaltma, AV ürünlerinde uygulama beyaz listesi, ağ segmentasyonu, MFA, yama, EDR izleme ve kendini savunmayı içerir.
TTP’ler süreç keşfi (T1057), bozulma savunmaları (T1562.001/006), hizmet oluşturma (T1543.003) ve servis durağı (T1489) içerir. Bir Yara kuralı, PE ithalatlarını, “ntoskrnl.exe” ve “ntaddatom” ve IOCTL kodları gibi ipleri eşleştirerek tehdidi tespit eder.
Uzlaşma Göstergeleri (IOC)
| Artefakt | SHA-1 Hash |
|---|---|
| Korunmasız Throttleblood.sys sürücüsü | 82ED942A52CDCF120A8919730E00BA37619661A3 |
| Haz8.exe (Medusalocker) | f02daf614109f39babdcb6f8841dd6981e929d70 |
| All.exe (katil) | C |
| Diğer katil varyantları | EFF7919D5DE737D9A64F7528E8E3666051A49AA 0A15BE464A603B1EEBC61744DC60510CE169E135 D5A050C73346F01FC9AD76D345ED36C221BAAC2 987834891CEA821BCD3CE1F6D3E549282D3B8D3 86A2A93A31E0151888C52DBBC8E33A7A3F4357DB DCAED7526CDA644A23DA542D017D48D97C9533 |
The Ultimate SOC-as-a-Service Pricing Guide for 2025– Ücretsiz indir