BlackByte 2.0 Fidye Yazılımı 5 Günde Çok Çeşitli Araçlar Kullanıyor

   Temmuz 7, 2023  Posted in GBHackers


Fidye yazılımlarının hızlı yükselişi ve karmaşıklığı, tehdit aktörlerinin daha sık saldırılar düzenlemesine ve yeterli hazırlığı olmayan işletmeleri ve kuruluşları bozmasına olanak tanıyor.

Microsoft Incident Response’deki araştırmacılar kısa bir süre önce, tehdit aktörünün hızlı saldırı ilerleyişi olan ve yalnızca beş gün içinde kurban kuruluşta büyük kesintilere neden olan bir izinsiz girişi araştırdı.

CSN

Hedeflerine ulaşmak için tehdit aktörü, BlackByte 2.0 fidye yazılımını dağıtmak için bu beş gün boyunca çok çeşitli araçlar ve teknikler kullandı.

Kullanılan TTP’ler

Aşağıda, tehdit aktörü tarafından kullanılan tüm TTP’lerden bahsetmiştik: –

  • Çevrimiçi olarak erişilebilen güvenli olmayan Microsoft Exchange Sunucularından yararlanma.
  • Bir web kabuğu dağıtarak uzaktan erişimi etkinleştirme.
  • Devam etmek ve gizlice bilgi toplamak için mevcut araçları kullanmak.
  • Komuta ve kontrol (C2) için, Cobalt Strike işaretlerini kurun.
  • Savunma mekanizmalarından kaçmak için savunmasız sürücülerin kullanılmasıyla süreç içi boşaltmanın birleştirilmesi.
  • Uzun vadeli süreklilik sağlamak için, özel olarak geliştirilmiş arka kapıların konuşlandırılması.
  • Verileri toplamak ve dışarı sızdırmak için özel olarak geliştirilmiş araçları devreye alma.

Saldırı zinciri

Aşağıdaki ProxyShell güvenlik açıklarından yararlanan tehdit aktörü, yama uygulanmamış Microsoft Exchange Sunucuları aracılığıyla kurbanın ortamına ilk erişimi elde etti:-

BlackByte saldırı zinciri (Kaynak – Microsoft)

Tehdit aktörü, bu güvenlik açıklarından yararlanarak aşağıdaki yetenekleri elde etti: –

  • Güvenliği ihlal edilmiş Exchange ana bilgisayarına yönetimsel erişim elde edin.
  • Autodiscover istekleri aracılığıyla kullanıcı LegacyDN ve SID verilerini alın.
  • Exchange PowerShell arka ucuna erişmek için geçerli bir kimlik doğrulama belirteci oluşturun.
  • Bir web kabuğu oluşturmak ve etki alanı yönetici kullanıcılarını taklit etmek için New-MailboxExportRequest cmdlet’ini kullanma.

Cihaz erişiminin ardından, tehdit aktörü, her seferinde kullanıcı oturum açtığında yükleri yürütmek için kayıt defteri çalıştırma anahtarları oluşturdu. Aşağıda, bu kayıt defteri çalıştırma anahtarlarından bahsetmiştik: –

  • HKEY_CURRENT_USER\Yazılım\Microsoft\Windows\CurrentVersion\Çalıştır
  • HKEY_CURRENT_USER\Yazılım\Microsoft\Windows\CurrentVersion\Çalıştır
  • HKEY_CURRENT_USER\Yazılım\Microsoft\Windows\CurrentVersion\Çalıştır

Burada, tehdit aktörü kalıcılık elde etmek için Cobalt Strike kullandı ve Microsoft Defender Antivirus, sys.exe dosyasını temp’ten indirilen Trojan:Win64/CobaltStrike!MSR olarak işaretledi.[.]sh (hxxps://temp[.]sh/szAyn/sys.exe), Cobalt Strike Beacon olarak tespit edildi.

Tehdit aktörleri ortama uyum sağlamak için yasal uzaktan erişim araçlarını kullanır ve bu örnekte sebat ve yanal hareket için AnyDesk kullanıldı.

Bu araç, aşağıdaki yollardan çalışan bir hizmet olarak yüklendi: –

  • C:\systemtest\anydesk\AnyDesk.exe
  • C:\Program Dosyaları (x86)\AnyDesk\AnyDesk.exe
  • C:\Scripts\AnyDesk.exe

AnyDesk günlük dosyası ad_svc.trace, aşağıdakilerle ilişkili anonimleştirici hizmet IP adresleriyle başarılı bağlantıları ortaya çıkardı:-

Tehdit aktörleri tarafından genellikle kaynak IP aralıklarını gizlemek için kullanılır. Ayrıca güvenlik analistleri, bir ağ keşif aracı olan NetScan’in tehdit aktörü tarafından ağ numaralandırması yapmak için kullanıldığını tespit etti.

Saldırgan aşağıdaki komutu kullanarak Microsoft Defender Antivirus’ü devre dışı bırakarak Trojan:Win64/WinGoObfusc.LK!MT dosyasını yürütmelerine izin verdi:-

Analistler, explorer.exe dosyasının, BlackByte fidye yazılımı saldırılarında tersine mühendislikten sonra kurban ağlarından dosya toplamak ve çalmak için kullanılan GoLang tabanlı bir araç olan ExByte olduğunu buldu.

BlackByte 2.0 fidye yazılımının yetenekleri

Aşağıda, BlackByte 2.0 fidye yazılımının yeteneklerinden bahsettik: –

  • Antivirüs atlama
  • Proses boşaltma
  • Windows Güvenlik Duvarı’nın değiştirilmesi/devre dışı bırakılması
  • Birim gölge kopyalarının değiştirilmesi
  • Kayıt defteri anahtarlarının/değerlerinin değiştirilmesi
  • Ek işlevsellik

öneriler

Aşağıda, Microsoft Incident Response’daki güvenlik araştırmacıları tarafından sunulan tüm önerilerden bahsetmiştik:-

  • İnternete maruz kalan cihazlar için yama uygulamaya öncelik verin ve sağlam bir yama yönetimi süreci oluşturun.
  • Ağınız genelinde kötü amaçlı etkinliklere yönelik gerçek zamanlı görünürlük için bir EDR çözümü olan Microsoft Defender for Endpoint’i devreye alın.
  • Bulut tabanlı korumayı etkinleştirin ve virüsten koruma çözümünüzü, virüsten koruma koruması için düzenli güncellemeler sağlayarak tehditleri engelleyecek şekilde yapılandırın.
  • Microsoft Defender Virüsten Koruma bileşenlerinin devre dışı bırakılmasına karşı koruma sağlamak için kurcalama korumasını etkinleştirdiğinizden emin olun.
  • IoC’de listelenen IP’lerden gelen tüm trafiği engellediğinizden emin olun.
  • Yetkisiz genel VPN hizmetlerinden erişimi ve TOR çıkış düğümlerinden gelen trafiği engellediğinizden emin olun.
  • Sistemde yetkili değişiklikleri önlemek için yönetici ayrıcalıklarını sınırlayın.

“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.



Source link