CRIL, yakın zamanda tespit edilen ve BlackSuit adlı, yaygın olarak kullanılan her iki işletim sisteminin kullanıcıları için tehdit oluşturan bir fidye yazılımı grubu keşfetti:
BlackSuit fidye yazılımının Linux sürümü, Royal fidye yazılımına benzerken, bir soğan sitesi aracılığıyla kendine özgü iletişim yöntemini koruyor ve kurbanlar hakkında herhangi bir bilgi ifşa etmekten kaçınıyor.
Teknik Analiz
C/C++ ile yazılmış BlackSuit fidye yazılımı, çalıştırılması sırasında komut satırı argümanlarını elde etmek için GetCommandLineW işlevini kullanan 32 bitlik bir yürütülebilir dosyadır.
Tüm bu argümanlar, önceden tanımlanmış dizelerin bir listesiyle karşılaştırılırken, işte buradalar: –
- -isim
- -yüzde
- -koruma yok
- -disablesafeboot
- -yerel
- -ağ
- -silmek
- -liste
- -P
Bir eşleşme algılandığında bir bayrak değişkeni ayarlayarak, komut satırı parametreleri olarak tanınan dizeler, fidye yazılımı yürütülebilir dosyasının çalışırken yürüttüğü etkinlikleri belirtir.
Çalıştırma sırasında fidye yazılımı yürütülebilir dosyası, fidye yazılımı ikili dosyasını yürütmek için gereken her kurban için benzersiz bir 32 karakterlik tanımlayıcı içeren zorunlu “-name” parametresi dahil olmak üzere sağlanan komut satırı parametrelerine dayalı olarak işlemlerini gerçekleştirir.
Fidye yazılımı, “-noprotect” parametresi kullanıldığında birden fazla örnek başlatabilirken, bu parametre dahil edilmemişse, “-name” parametresi tarafından belirlenen muteks adı ile CreateMutexW() işlevini kullanır.
Fidye yazılımı, GetLastError() işleviyle bir hata değeri alarak aynı ada sahip bir muteksin varlığını kontrol eder. Araştırmacılar, muteksin zaten var olduğunu ima eden 183 hata değeri döndürülürse, fidye yazılımının çalışmasını sonlandırdığını söyledi.
Fidye yazılımı, “yerel” parametre bayrak değişkeninin sıfır olduğunu doğruladıktan sonra, tüm ağ cihazlarını listelemek için CreateThread() işlevini kullanarak bir iş parçacığı oluşturur.
Bunun dışında, tüm dosyaları ve dizinleri listelemek için, fidye yazılımının şifreleme sürecini başlatmak için iki özel API işlevini kullandığı gözlemlendi ve işte bunlar: –
- FindFirstFileW()
- SonrakiDosyayı Bul()
Linux varyantındaki BlackSuit fidye yazılımı, GCC ile derlenmiş, çeşitli işlevler, kontrol ve operasyonel yetenekler sunan birden çok komut satırı parametresi içeren bir 64-bit ELF yürütülebilir dosyasıdır.
Aşağıda, BlackSuit fidye yazılımının bu varyantı tarafından kullanılan tüm komut satırı parametrelerinden bahsetmiştik:-
- -isim
- -yüzde
- -P
- -thrcount
- -atlamak
- -killvm
- -allfies
- -koruma yok
- -vmsyslog
- -demonoff
Fidye yazılımı, VMware sanal makineleri için günlükler oluşturan “-vmsyslog” parametresini kullanarak “vmsyslog” hizmetini sonlandırır. Bu eylem, sanal makinelerin işleyişindeki düzensizliklerin izlenmesini ve tespit edilmesini engeller.
Fidye yazılımı, etkin VMware sanal makinelerini (VM’ler) sonlandırmak için “-killvm” parametresini kullanır ve dosyalarının şifrelenmesine olanak tanır.
Ayrıca sistem dosyaları, önceden şifrelenmiş dosyalar ve fidye notları gibi belirli dosyaları erişilebilirliklerini korumak için şifreleme sürecinin dışında bırakır. Ayrıca, “-vmonly” parametresi, şifrelemeyi yalnızca VMware sanal makineleriyle ilişkili dosyalarla sınırlar.
Fidye yazılımı, dosyaları şifrelerken, saldırganla iletişim kurmak için ödeme talimatlarını ve bir Tor bağlantısını içeren bir fidye notu bırakır.
Fidye notu
Dosyalar şifrelendikten sonra, BlackSuit fidye yazılımı adlarına “.BlackSuit” uzantısını ekler ve içinden geçtiği her dizine “README.BlackSuit.txt” adlı bir fidye notu bırakır.
Program önce “-disablesafeboot” parametresini kontrol eder ve varsa “bcdedit.exe” yardımcı programını kullanarak güvenli önyükleme modunu devre dışı bırakır. Daha sonra işletim sisteminin 64 bit olup olmadığını belirler ve gerekirse “bcdedit.exe”nin 64 bit sürümünü çağırır. Son olarak, “/r /t 0” argümanlarıyla “shutdown.exe”yi kullanarak sistemin anında yeniden başlatılmasını tetikler.
Fidye yazılımı, “delete” parametresinin kullanılıp kullanılmadığını kontrol eder ve kanıtları kaldırmak için kendini siler. Bunu, sonsuz döngüye sahip bir toplu komut dosyası kullanarak başarır. Döngü, “f” dosyasını arar ve kaldırılana veya komut dosyası durdurulana kadar onu tekrar tekrar siler ve iz bırakmadan temiz bir kaldırma sağlar.
öneriler
Aşağıda, CRIL’deki siber güvenlik analistleri tarafından sunulan tüm önerilerden bahsetmiştik:-
- Güvenli çevrimdışı/ayrı ağ yedeklemeleri uyguladığınızdan emin olun.
- Her zaman erken tehdit göstergelerini izleyin ve gerekli önlemleri alın.
- Düzenli parola değişikliklerini zorunlu kılın veya çok faktörlü kimlik doğrulaması uygulayın.
- Hassas bağlantı noktalarının İnternet’e maruz kalmasını önleyerek saldırı yüzeyini azaltın.
- Çalışanlar, üçüncü taraflar ve satıcılar için siber güvenlik farkındalık programları dağıtın.
- Kritik güvenlik açıklarını belirlemek ve önceliklendirmek için risk tabanlı süreç uyguladığınızdan emin olun.
- Güvenilmeyen bağlantıları ve e-posta eklerini açmadan önce her zaman orijinalliğini doğrulayın.
- Şirket cihazlarına saygın güvenlik yazılımı dağıtın.
- Tüm bağlı cihazlarda otomatik yazılım güncellemelerini etkinleştirin.