Büyük bir fidye yazılımı saldırısının arkasındaki grup, BlackByte fidye yazılımı çetesi, ölümcül yeni bir saldırı yöntemine yöneldi, “Kendi Savunmasız Sürücünüzü Getirin” (BYOVD).
Bunun nedeni, güvenlik ürünlerinin saldırılar tarafından atlanmasına ve böylece sistemi ihlal etmelerine izin vermesidir. Virüsten koruma yazılımında kullanılan 1.000’den fazla sürücü, yazılımlarında bulunan bir güvenlik açığı nedeniyle istismar edildi.
CVE-2019-16098 adlı güvenlik açığı, uygulama ayrıcalıklarının yükseltilmesine ve saldırganlar tarafından rastgele kod yürütülmesine izin verebilir.
Sophos’taki siber güvenlik uzmanları, saldırganların G/Ç kontrol kodlarını, saldırganların kullandığı sürücü aracılığıyla doğrudan kullanıcı modu süreçlerine maruz bıraktığını doğruladı.
Çekirdek belleği doğrudan okunabildiğinden, yazıldığından ve yürütülebildiğinden, bilgisayar korsanları bunu açıklar veya kabuk kodları kullanmadan yapabilir.
Teknik Analiz
Güvenlik sorunundan yararlanmak için BlackByte, yararlanılan güvenlik açığı nedeniyle birkaç EDR ve antivirüs ürününün düzgün çalışmasını engelleyen sürücüleri etkin bir şekilde devre dışı bırakır.
Koruma sisteminin devre dışı bırakıldığı BlackByte saldırısı açısından. Saldırı akışı aşağıdaki resimde açıkça açıklanırken: –
BlackByte, saldırının ilk aşamasında çekirdek kimliğine uygulanabilir ofsetleri seçmek için başlangıçta çekirdek sürümünü tanımlar.
Bir sonraki adımda, RTCore64.sys dosyası “AppData/Roaming” dosya dizinine yerleştirilecektir. Bundan sonra, belirsiz olmayan bir görünen ad rastgele seçilir ve ardından hizmeti oluşturmak için sabit kodlanmış bir ad kullanılır.
Saldırganlar CVE-2019-16098’i kullanarak olay işleyici için geri arama işlevinin adresini ve NotifyRoutine adlı başka bir parametreyi sıfırlayarak kaldırır.
Bilgisayar korsanları, yalnızca bu işlevi destekleyen ürünler için AV/EDR sürücüleriyle ilişkili adresleri sıfırlayabilir. Çoğu durumda, sistemler birden fazla koruyucu önlemin bir kombinasyonudur.
Güvenlik ürünleri için sürücüler, daha sonra güvenlik ürünlerine aktarılan sistemin etkinliği hakkında bilgi toplamak için genellikle bunun gibi rutinleri kullanır.
Saldırganlar, amaçlarına ulaşmak için bu geri aramaları çekirdeğin belleğinden kaldırmayı hedefleyebilir.
Bu güvenlik özelliğini atlamak söz konusu olduğunda bir saldırgan aşağıdaki seçeneklere sahiptir:-
Çalınarak veya anonim olarak alarak meşru kod imzalama sertifikalarından yararlanın.
Mevcut imzalı sürücüleri kötüye kullanarak çekirdek belleğinde kod okuma, yazma veya yürütme.
Sistem yapılandırmasına eklenebilecek etkin bir engelleme listesine belirli MSI sürücüsünü ekleyerek, yöneticiler kendilerini BlackByte’ın yeni güvenlik atlama hilesine karşı koruyabileceklerdir.
Ayrıca, donanım eşleşmesi olmayan sahte sürücü enjeksiyonlarını belirlemek için, yöneticilerin tüm sürücülerin kurulum olaylarını izlemesi ve bunları düzenli olarak incelemesi zorunludur.
Ayrıca Okuyun: Güvenli Web Filtrelemeyi İndirin – Ücretsiz E-kitap