Crypt4You adı altında faaliyet gösteren bir tehdit aktörü, yeraltı siber suç forumlarında “çekirdek düzeyinde” güvenlik etkisizleştirme aracı olarak pazarlanan yeni ve gelişmiş bir saldırı aracının reklamını yapmaya başladı.
VOID KILLER olarak adlandırılan kötü amaçlı yazılım, antivirüs (AV) ve Uç Nokta Tespit ve Yanıt (EDR) süreçlerini sonlandırmak için tasarlandı ve kendisini yalnızca kötü amaçlı kodları gizleyen geleneksel “şifreleyicilere” daha agresif bir alternatif olarak konumlandırıyor.
Yıllardır siber suçlular, statik analiz ve imza tabanlı algılamayı atlatmak için kötü amaçlı yazılım kodunu gizleyen “şifreleyici” araçlara güvendiler.
Ancak modern davranış analizi ve bulut tabanlı buluşsal yöntemler genellikle bu yükleri yürütülmeye başladıktan sonra yakalar.
VOID KILLER, taktiklerde bir değişikliği temsil ediyor: Araç, antivirüsten saklanmaya çalışmak yerine, bir uyarıyı tetiklemeden önce antivirüs sürecini tamamen sonlandırmaya çalışıyor.
Tehdit istihbaratı araştırmacıları tarafından izlenen reklamlara göre aktör, VOID KILLER’ın Windows Defender’ı ve diğer 50’den fazla tüketici antivirüs ürününü anında sonlandırabileceğini iddia ediyor.
Satıcı, hem tarama süresi (dosya diskte dururken) hem de çalışma zamanı (dosya çalıştırıldığında) için “0 algılama” oranıyla övünür; bu iddia eğer doğruysa, gelişmiş gizleme veya meşru sürücü istismarının kullanıldığını öne sürer.
Çekirdek Düzeyinde Yetenekler ve Talepler
VOID KILLER’ın en endişe verici özelliği, sözde “çekirdek düzeyinde” sonlandırma yeteneğidir. Windows işletim sisteminde “çekirdek”, sistemdeki her şey üzerinde tam kontrol sahibi olan temel bileşendir.
Çoğu tüketici uygulaması, kısıtlı ayrıcalıklarla “kullanıcı modunda” çalışır. Ancak güvenlik yazılımı, kendisini kötü amaçlı yazılımlar tarafından devre dışı bırakılmaktan korumak için çekirdek modu sürücülerini kullanır.
VOID KILLER’ın geliştiricileri, “çekirdek düzeyinde” sonlandırma iddiasında bulunarak, muhtemelen Kendi Savunmasız Sürücünüzü Getirin (BYOVD) olarak bilinen bir teknik aracılığıyla mümkün olan en yüksek ayrıcalıklarla çalışmanın bir yolunu bulduklarını ima ediyorlar.
Ancak EDR süreçlerinin açıkça hedeflenmesi, tehdit aktörlerinin ağları şifrelemeden önce savunucuları kör etmek için özel araçlar (“Terminatör” veya “AuKill” gibi) kullandığı yüksek profilli fidye yazılımı saldırılarında görülen doğrulanmış eğilimleri yansıtıyor.
Bu yöntem, kötü amaçlı yazılımın daha sonra çekirdeğe erişim sağlamak ve Microsoft’un Kötü Amaçlı Yazılımdan Koruma Hafif Filtresi (AM-PPL) gibi güvenlik korumalarını kapatmak için kullandığı, bilinen güvenlik açıklarını içeren meşru, dijital olarak imzalanmış bir sürücünün dağıtılmasını içerir.
Özellikler ve Fiyatlandırma
Reklamda orta ve ileri düzey tehdit aktörleri için tasarlanmış bir dizi özellik ayrıntılarıyla anlatılıyor:
- Polimorfik Yapılar: Aracın her yapı için “yeni bir karma” oluşturduğu ve imza tabanlı engelleme listelerinden kaçınmak için dijital parmak izini değiştirdiği bildiriliyor.
- Otomatik UAC Baypası: Mağduru uyarmadan ayrıcalıkları yükseltmesine olanak tanıyarak Kullanıcı Hesabı Denetimini otomatik olarak atladığını iddia ediyor.
- Yük Agnostik: Katil, sarmalayıcı veya damlatıcı görevi görüyor; bu, fidye yazılımından bilgi hırsızlarına kadar her türlü kötü amaçlı yürütülebilir dosyayı dağıtmak için kullanılabileceği anlamına geliyor.
Araç şu anda özel yapım başına 300 dolara satılıyor ve ödemeler Bitcoin (BTC), Ethereum (ETH), Litecoin (LTC) ve Monero (XMR) gibi kripto para birimleriyle yapılıyor.
Satıcının özellikle CrowdStrike ve SentinelOne gibi sektör liderlerinden ayrı, muhtemelen daha pahalı, birinci sınıf bir hizmet olarak bahsederek kurumsal düzeyde EDR/XDR sonlandırması sunması dikkat çekicidir.
Tehdit aktörü, aracı çalışırken gösterdiği iddia edilen bir demo videosunu paylaşırken, güvenlik uzmanları dikkatli olunması yönünde çağrıda bulunuyor.
“0 tespit” iddiaları yeraltı siber suçlarında yaygındır ve genellikle daha düşük seviyeli suçluları dolandırmak için abartılır.
Bu araç pazara girdiğinde, kuruluşların savunmasız sürücüleri yükleme girişimlerini izlemeleri ve uç nokta koruma platformlarının, süreç sonlandırma girişimlerine direnebilecek kurcalamaya karşı korumanın etkinleştirildiğinden emin olmaları önerilir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.