BlackByte Hacker’ları VMware ESXi Kimlik Doğrulama Baypas Güvenlik Açığını İstismar Ediyor


2021 yılının ortalarında ortaya çıkan bir Fidye Yazılımı Hizmeti (RaaS) grubu olan BlackByte’ın da Conti’nin evriminin izlerini taşıdığı görülüyor.

Çekirdek düzeyindeki istismar edilen sürücülerin kullanımıyla güvenlik önlemlerini aşmak, solucan özellikleriyle kendi kendini kopyalayan fidye yazılımları üretmek ve kurşunsuz ikili dosyalardan yararlanmak gibi üretken karmaşıklıklar kullanır.

Bu, bir programlama dilinden veya koddan diğerine (Go, .NET ve C++) geçişteki ilerlemeyi gösterir.

Cisco Talos’taki siber güvenlik analistleri, BlackByte saldırganlarının VMware ESXi Kimlik Doğrulama atlama güvenlik açığını istismar ettiğini keşfetti.

Teknik Analiz

Daha yakın tarihli saldırılarda ise ilk erişim için kaba kuvvet yoluyla VPN kimlik bilgileri kullanılıyor ve VMWare ESXI’de CVE-2024-37085 yoluyla yükseltilmiş ayrıcalıklar elde ediliyor.

BlackByte, pass-the-hash yöntemlerini kullanarak ağdaki dahili hareketler için NTLM’yi kullanır, fidye yazılımlarını (ExByte) “atieclxx.exe” gibi zararsız dosyalar olarak gizler ve bazı komut satırı anahtarlarını (-s) geçirerek bir fidye yazılımı saldırısı (“host.exe”) başlatır [8-digit string] (hizmet).

Fidye yazılımı bir hizmet olarak dağıtılıyor ve bu durumda SMB üzerinden yayılıyor, eylemlerinin çoğu C:\SystemData’dan yürütülüyor ve ‘MsExchangeLog1.log’ gibi yeni dosyalar yürütme ilerlemesini kaydediyor.

MsExchangeLog1.log içerikleri yürütme sırasında (Kaynak – Cisco Talos)

BlackByte’ın ayrıca Active Directory’yi yönettiği, ‘ESX Admins’ adı verilen yönetim grupları eklediği ve kayıt defteri anahtarlarını kullanarak güvenlik uygulamalarını değiştirdiği bildiriliyor.

Grubun veri sızdırma yöntemleri, özelleştirilmiş aracı ExByte’ı istismar ediyor olabilir; ancak bu bilgiler, ağ dışı sahneleme ve şifrelemenin neden olduğu yan hasarlar nedeniyle gizli kalmaya devam ediyor.

Sadece kamuoyuna açık mağdurlar dikkate alındığında, bu grubun sınırlı bir faaliyet gösterdiği görüldüğünden endişe edilecek bir durum yoktur.

Ancak son zamanlarda Cisco Talos’un dünya çapında toplanan telemetrisi, bazı BlackByte aktivitelerinin göründüğü kadar sınırlı olmadığını gösterdi.

BlackByte fidye yazılımı uzantısını .blackbytent_h’ye yükseltti ve aşağıdaki dört savunmasız sürücüde Bring Your Own Vulnerable Driver (BYOVD) tekniğini kullanıyor:

  • RtCore64.sys
  • DBUtil_2_3.sys
  • zamguard64.sys
  • gdrv.sys

Mevcut senaryo, fidye yazılımının kendi kendini şifrelediğini ve kendi kendini imha etme komutunu gönderdiğini gösteriyor (/c ping 1.1.1[.]1 -n 10 > Nul & fsutil dosyası setZeroData offset=0 length=503808 c:\windows\host.exe & Del c:\windows\host.exe /F /Q), dökülen kimlik bilgilerini ve ‘SRVSVC’ adlandırılmış boru ile NetShareEnumAll işlevini kullanarak ağın güvenliğini ihlal eder, kayıt defteri ayarlarını değiştirerek Windows Defender taramasını atlatır (HKLM\SOFTWARE\MICROSOFT\WINDOWS DEFENDER).

Kötü amaçlı yazılım sistem ikili dosyalarını (taskmgr.exe, perfmon.exe, shutdown.exe, resmon.exe) siler ve msdl.microsoft ile iletişim kurar[.]com (204.79.197[.]219) sembollerin hata ayıklaması için kullanılır ve en çok etkilenen (mağdurların %32’si) imalat sektörü olmak üzere çeşitli endüstrileri hedefler.

BlackByte’ın C#’dan Go’ya ve şimdi de C/C++’a geçişi, anti-analiz yöntemlerinden faydalanmak adına atılmış önemli bir adımdır.

Fidye yazılımlarının kendi kendini yayma özelliği, BYOVD kullanımı ve kurban başına özel derleme, daha gelişmiş savunma yöntemlerinin ve bazı durumlarda daha iyi kontrol gerektiğinde tüm kuruluş için kurum çapında parola değişikliklerinin getirilmesine yol açan önemli zorluklar ortaya çıkarmaktadır.

Öneriler

Aşağıda tüm önerilerimizi belirttik:

  • Uzaktan ve bulut erişimi için MFA’yı uygulayın.
  • VPN yapılandırmalarını denetleyin.
  • Ayrıcalıklı grup değişiklikleri için uyarılar ayarlayın.
  • NTLM’yi sınırlayın veya devre dışı bırakın.
  • SMBv1’i devre dışı bırakın ve SMB imzalamayı zorunlu kılın.
  • EDR’yi tüm sistemlere dağıtın.
  • Satıcı hesaplarını ve uzaktan erişimi devre dışı bırakın.
  • Yetkisiz yapılandırma değişikliklerini tespit edin.
  • Kurumsal şifre sıfırlama prosedürlerini belgeleyin.
  • ESX ana bilgisayarlarını güçlendirin ve yama yapın.

Ücretsiz İndirIncident Response Plan TemplateGüvenlik Ekibiniz içinFree Download



Source link