Bilgisayar korsanları, antivirüsü devre dışı bırakmak ve sistem savunmalarını zayıflatmak için meşru sürücülerden yararlanır


Tehdit aktörleri, en azından Ekim 2024’ten beri yeni bir antivirüs (AV) katilini kullanıyor ve meşru obrottlestop.sys sürücüsünden yararlanmak için kendi savunmasız sürücü (BYOVD) taktiklerinizi getirmek için.

Kaspersky tarafından Win64.killav. Olarak tespit edilen bu kötü amaçlı yazılım AV süreçlerini sistematik olarak sonlandırır, Medusalocker varyantı (Trojan-Ransom.win32.paidmeme.) Gibi fidye yazılımı dağıtımının yolunu açar.

Olay, düşmanların Belçika’dan geçerli RDP kimlik bilgileri aracılığıyla bir SMTP sunucusuna ilk erişim elde etmesiyle başladı, zayıf şifre politikalarından yararlandı ve uzaktan erişimi maruz bıraktı.

Saldırı zinciri

Mimikatz’ı kullanarak saldırganlar NTLM karmalarını çıkardı ve invoke-wmiexec.ps1 gibi powerShell araçları ile hortum teknikleri yoluyla yanal hareket gerçekleştirdiler ve invoke-smbexec.ps1.

Antivirüs
Olay akışı

Bu komut dosyaları, ağ uç noktalarındaki yönetim gruplarına eklenen, tek tip parolalara sahip sıralı kullanıcı hesaplarının (örneğin, user1, user2) oluşturulmasını kolaylaştırdı.

AV Killer (All.exe) ve Ransomware (Haz8.exe) dahil olmak üzere eserler, posta sunucusundaki C: \ Users \ Administir \ Music gibi dizinlerde sahnelendi ve daha sonra tehlikeye girmiş makinelerde C: \ Users \ usern \ kullanılır.

Başlangıçta, Windows Defender bazı sistemlerdeki fidye yazılımlarını karantinaya aldı, ancak saldırganlar BYOVD yöntemini kullanarak hızla devre dışı bıraktı ve kontrolsüz şifreleme sağladı.

Bu zincir, AV çözümlerinin bile tespit edilmemiş sürücülere karşı korunmalara karşı durduğu derinlemesine savunma stratejilerindeki güvenlik açıklarının altını çiziyor.

Ancak Kaspersky’nin uç nokta güvenliği, bellek süreçlerini, kayıt defteri girişlerini ve dosyaları koruyan sağlam kendini savunma mekanizmalarıyla böyle kurcalamaya direndi.

Katilin teknik analizi

AV Killer, sürücünün çekirdek düzeyinde manipülasyon için güvenlik açıklarından yararlanan yeniden adlandırılmış, meşru bir şekilde imzalanmış bir tahtnlestop.sys sürücüsü (CVE-2025-7771) ve all.exe’den oluşur.

Antivirüs
İkili içindeki AV isimleri

2020 yılında TechPowerup LLC tarafından bir Digicert sertifikası ile imzalanan sürücü, \. \ Throttlestop’ta bir cihaz oluşturur ve mmmapiospace aracılığıyla keyfi fiziksel bellek okumaları ve yazmaları için IOCTL işleyicilerini ortaya çıkarır.

All.exe, yönetici ayrıcalıkları ile sürücüyü OpenScmanagera ve StartServiceW gibi Servis Kontrol Yöneticisi API’lerini kullanarak yükler, ardından SystemModuleInformation ile NTQuerySyStemInformation aracılığıyla çekirdek taban adresini alır.

Superfetch tekniğini açık kaynaklı bir kütüphaneden kullanan, sanal adresleri SystemPuperFetchInformation sorgularını kullanarak fiziksel olanlara çevirir.

Rapora göre, kötü amaçlı yazılım, çekirdek kodunun üzerine yazan kabuk kodu enjekte ederek NTAddatom Syscall’ı, psokeupprocessbyid ve psterminatinprocess gibi fonksiyonların hedeflenen AV süreçlerini öldürmesi için dolaylı olarak çağrılmasına izin vererek kaçırıyor.

ALL.EXE listesi, avastsvc.exe (avast), msmpeng.exe (microsoft), avp.exe (kaspersky) ve diğerleri Bitdefender, Crowdstrike, ESET, McAfee, Symantec ve Sophos dahil olmak üzere büyük satıcılardan işlemleri listeliyor.

Process32Firstw ve Process32NextW ile tespit edildikten sonra, eşleşen işlemler bir döngüde sonlandırılır ve Defender gibi yeniden başlatmalara karşı koyulur.

Bu çekirdek kodu enjeksiyonu, kazaları önlemek için yürütme sonrası orijinal kodu geri yükleyerek ileri kaçınma gösteriyor.

Kurbanlar, fidye yazılım gruplarıyla bağları olan Rusya, Belarus, Kazakistan, Ukrayna ve Brezilya’yı kapsıyor.

Azaltma, AV ürünlerinde uygulama beyaz listesi, ağ segmentasyonu, MFA, yama, EDR izleme ve kendini savunmayı içerir.

TTP’ler süreç keşfi (T1057), bozulma savunmaları (T1562.001/006), hizmet oluşturma (T1543.003) ve servis durağı (T1489) içerir. Bir Yara kuralı, PE ithalatlarını, “ntoskrnl.exe” ve “ntaddatom” ve IOCTL kodları gibi ipleri eşleştirerek tehdidi tespit eder.

Uzlaşma Göstergeleri (IOC)

Artefakt SHA-1 Hash
Korunmasız Throttleblood.sys sürücüsü 82ED942A52CDCF120A8919730E00BA37619661A3
Haz8.exe (Medusalocker) f02daf614109f39babdcb6f8841dd6981e929d70
All.exe (katil) C
Diğer katil varyantları EFF7919D5DE737D9A64F7528E8E3666051A49AA
0A15BE464A603B1EEBC61744DC60510CE169E135
D5A050C73346F01FC9AD76D345ED36C221BAAC2
987834891CEA821BCD3CE1F6D3E549282D3B8D3
86A2A93A31E0151888C52DBBC8E33A7A3F4357DB
DCAED7526CDA644A23DA542D017D48D97C9533

The Ultimate SOC-as-a-Service Pricing Guide for 2025Ücretsiz indir



Source link