Check Point araştırmacıları, yakın zamanda ABD merkezli bir şirketi vuran markasız bir fidye yazılımı türünün, ticari bir güvenlik ürününde bulunan bir aracı kötüye kullanan saldırganlar tarafından dağıtıldığını buldu.
Söz konusu çözüm, Palo Alto Networks’ün Cortex XDR’si.
Rorschach’ın uygulama akışı (Kaynak: Check Point)
Rorschach fidye yazılımının özellikleri
Daha önce ASEC AhnLab araştırmacıları tarafından analiz edilen Rorschach fidye yazılımının bazı tipik ve bazı benzersiz özellikleri vardır:
- Biraz özerk. Bir Etki Alanı Denetleyicisinde (DC) çalıştırıldığında otomatik olarak yayılabilir; burada tüm iş istasyonlarına kendi kopyalarını koyan bir grup ilkesi oluşturur, ardından belirli işlemleri sonlandırır ve son olarak da ana bilgisayarı çalıştıracak zamanlanmış bir görevi kaydeder. yürütülebilir
- Etkilenen makinelerdeki Windows olay günlüklerini temizler, Windows güvenlik duvarını devre dışı bırakır ve gölge birimleri ve yedekleri siler (veri kurtarmayı zorlaştırmak için)
- Sabit kodlu bir yapılandırmaya sahiptir, ancak farklı komut satırı argümanları aracılığıyla konuşlandırılabilen ek yeteneklere sahiptir (örneğin, operatör, virüs bulaşmış makinenin duvar kağıdını değiştirmemeyi veya bir fidye notu göndermemeyi veya bir parolanın örneği çalıştırmak için gerekli)
- Curve25519 ve eSTREAM cipher hc-128 algoritmalarını birleştiren, dosyaların yalnızca bir kısmını şifreleyen ve çok etkili iş parçacığı planlaması kullanan bir şifreleme şeması kullanır. Tüm bunlar yıldırım hızında dosya şifrelemeyle sonuçlanır.
Ama belki de bununla ilgili en ilginç şey, nasıl teslim edildiği ve konuşlandırıldığıdır.
Check Point Tehdit İstihbaratı Grup Müdürü Sergey Shykevich, Help Net Security’ye “Siber suçlular, Cortex XDR’nin Döküm Hizmeti Aracını kendi başlarına teslim ettikleri bağımsız bir araç olarak kullanıyorlar” dedi.
Gözlemledikleri vakada, saldırganlar kurbanın makinesine üç dosya içeren bir ZIP dosyası getirdiler: cy.exe (Cortex XDR Dump Service Tool sürüm 7.3.0.16740), belleğe yan yükleme yapmak için kötüye kullanılır winutils.dll (paketlenmiş Rorschach yükleyici ve enjektör) ve config.ini (tüm mantığı ve yapılandırmayı içeren şifreli Rorschach fidye yazılımı).
“Ana Rorschach yükü config.ini daha sonra belleğe de yüklenir, şifresi çözülür ve not defteri.exefidye yazılımı mantığının başladığı yer,” diye açıkladı araştırmacılar.
Saldırganların kötü amaçlı ZIP dosyasını hedef kuruluşun sistemine nasıl aktardıkları ve tehdidin birden fazla sistemde bulunup bulunmadığı hakkında bilgi verilmedi.
Araştırmacılar, “Rorschach, bilinen fidye yazılımı gruplarının hiçbiriyle net bir örtüşme göstermiyor, ancak bazılarından ilham alıyor gibi görünüyor” dedi.
Kesin olan şey, fidye yazılımının, varsayılan dilin/komut dosyasının kullanıcının bir BDT ülkesinde bulunduğunu veya bu ülkeden olduğunu gösterdiği makinelerde çalışmayacağıdır.
Palo Alto Networks tepki gösteriyor
Palo Alto Networks (PAN), “kurulum dizininden kaldırıldığında Cortex XDR Dump Service Tool’un (cydump.exeWindows’ta Cortex XDR aracısına dahil olan ), güvenilmeyen dinamik bağlantı kitaplıklarını (DLL’ler) yüklemek için kullanılabilir.”
Tehdit aktörü tarafından kullanılan aracın kopyası adlandırılmıştır. cy.exe ancak Shykevich’e göre orijinal dosya adı bilgisi, ikili dosyanın sürüm bilgisi kaynağında hala sunulmaktadır.
PAN, Cortex XDR ajanı 7.7, 7.8 ve 7.9 sürümlerini CU-240 ile çalıştıran sistemlerin ve sonraki içerik güncellemelerinin bu fidye yazılımını tespit edip engellediğini ve yazılımlarının kötüye kullanılmasını önlemek ve tespit ve tespit etmek için önümüzdeki hafta yeni bir içerik güncellemesinin yayınlanacağını söylüyor. bu DLL yandan yükleme tekniğini önleyin.
“Rorschach fidye yazılımı, yeterli uç nokta korumasına sahip olmayan sistemlerde tespit edilmekten kaçınmak için Cortex XDR Dump Service Tool’un bir kopyasını ve bu DLL yandan yükleme tekniğini kullanır. Bu, DLL yandan yükleme tekniklerini kullanan diğer kötü amaçlı yazılımlarla aynı riski oluşturuyor” diye eklediler.