Mevcut siber uzay çağındaki en baskın tehditlerden biri, her büyüklükteki kuruluşu sürekli olarak etkileyen fidye yazılımlarıdır. Saldırganlar, potansiyel hedeflerden daha geniş bir ağ oluşturmak için sürekli olarak taktiklerini değiştiriyor ve başarılı olduklarından emin olmak için zanaatlarını genişletiyor.
Fidye yazılımı saldırılarının bir sonucu olarak çok çeşitli sektörler, sistemler ve platformlar etkileniyor. Günümüzde iş yerindeki hibrit cihazları ve çalışma ortamlarını korumak söz konusu olduğunda, fidye yazılımlarının bu sistemler ve platformlarda nasıl çalıştığını anlamak çok önemlidir.
Diğer platformların aksine, Mac fidye yazılımı, bilgisayarları etkilemek için büyük ölçüde sahte uygulamaları veya truva atı bulaşmış programları indirmek ve çalıştırmak gibi kullanıcı yardımına güvenme eğilimindedir.
Fidye Yazılımının TTP’lerini Ortaya Çıkarma
Fidye yazılımı kampanyaları sırasında, saldırganlar genellikle bir hedef cihaza erişim sağlar, kötü amaçlı yazılımı yürütür, hedefe ait dosyaları şifreler ve hedefi bir fidye talebi ve ödeme talebi konusunda bilgilendirir.
Bu hedeflere ulaşmak için kötü amaçlı yazılım oluşturucuları tarafından aşağıdaki adımlar atılır: –
- Meşru işlevleri kötüye kullanır
- Güvenlik açıklarından yararlanmak için çeşitli teknikler geliştirin
- Savunmalardan kaçmak
- Kullanıcıları cihazlarına virüs bulaştırmaya zorlama
Microsoft, aşağıdaki dört Mac fidye yazılımı ailesini analiz etti:-
- KeRangers
- DosyaKodlayıcı
- MacRansom
- Kötü Görev
Teknik Analiz
Fidye yazılımının en yüksek başarıyı elde etmesi için hangi dosyaların şifreleneceğini hedeflemesi önemlidir. Microsoft’un gözlemlerine dayanarak, fidye yazılımı aileleri, dosyaları ve dizinleri Mac’te aşağıdaki gibi birkaç farklı şekilde numaralandırır:-
- Find ikili dosyasını kullanma
- opendir, readdir ve closedir kitaplık işlevlerini kullanma
- Objective-C aracılığıyla NSFileManager sınıfını kullanma
Kötü amaçlı yazılım oluşturucuların birincil amacı, dosyaların insan analist veya otomatik bir analiz sistemi tarafından analiz edilmesini önlemek veya bundan kaçınmaktır.
Yukarıda tartışılan fidye yazılımı aileleri arasında, fidye yazılımının tespit edilmemesini sağlamak için donanım tabanlı kontroller kullanılır veya fidye yazılımının analiz edilmesini önlemek için özel kod yapılır.
Donanım tabanlı kontroller söz konusu olduğunda, bunlar şunlardır: –
- Bir cihazın donanım modelini kontrol etme
- Bir cihazın mantıksal ve fiziksel işlemcilerini kontrol etme
- Cihazın MAC OUI’sini kontrol etme
- Cihazın CPU sayısını ve bellek boyutunu kontrol etme
Kodla ilgili kontroller arasında şunlar yer alır: –
- Gecikmeli yürütme
- PT_DENY_ATTACH (PTRACE)
- P_TRACED bayrağı
- Zaman bazlı kontrol
Kötü amaçlı yazılımların, sistem yeniden başlatıldıktan sonra bile çalışmaya devam etmesini sağlamak için kalıcılığı kullanması oldukça yaygındır.
Analiz edilen Mac fidye yazılımı ailelerinden EvilQuest ve MacRansom fidye yazılımı ailelerinin her ikisi de kalıcılık teknikleri kullanmıştır.
Sonuç olarak, bu kötü amaçlı yazılım aileleri, sistemdeki varlıklarını sürdürmek için çeşitli kalıcılık teknikleri kullanır. Ve burada aşağıda kalıcılık tekniklerinden bahsettik: –
- Başlatma aracıları veya başlatma arka plan programları oluşturma
- Çekirdek sıralarını kullanma
Analiz ettiğimiz fidye yazılımı ailelerinin anti-analiz ve kalıcılık tekniklerinde genellikle benzerlikler vardır. Bununla birlikte, bu fidye yazılımı aileleri arasında şifreleme mantığında bir fark vardır.
Dosyaların şifrelenmesi genellikle AES-RSA algoritmaları kullanılarak yapılırken, sistem yardımcı programları, XOR rutinleri veya özel algoritmalar gibi diğer teknikler kullanılır.
Verileri şifreleme yöntemleri, yama eklemekten orijinal dosyayı silmeye ve yerine yeni bir tane oluşturmaya kadar değişir. EvilQuest, bellek içi yürütme uygulamasının bir parçası olarak aşağıdaki API’leri kullanır: –
- NSCreateObjectFileImageFromMemory – bellekte bulunan verilerden bir nesne dosyası görüntüsü oluşturmak için kullanılır
- NSLinkModule – nesne dosyası görüntüsünü bağlamak için kullanılır
- NSLookupSymbolInModule – belirli bir sembolü aramak için kullanılır
- NSAddressOfSymbol – sembolün adresini almak için kullanılır.
Öneri
Savunmaların, aşağıdaki hafifletme adımlarını uygulayarak fidye yazılımı saldırılarının etkisini azaltması mümkündür:-
- Yazılım platformunun resmi uygulama mağazası dışındaki kaynaklardan uygulama yüklemeyin.
- Erişimi kısıtlayarak ayrıcalıklı kaynakları koruyun.
- Microsoft Edge gibi Microsoft Defender SmartScreen’i destekleyen bir web tarayıcısı kullanın.
- En son sürümlerini yükleyerek işletim sisteminizi ve uygulamalarınızı güncel tutun.
- Mac’inizde Uç Noktalar için Microsoft Defender kullandığınızdan emin olun.
Güvenli Web Ağ Geçidi – Web Filtresi Kuralları, Etkinlik İzleme ve Kötü Amaçlı Yazılımdan Koruma – Ücretsiz E-Kitap İndirin