Fidye yazılımı kılığına giren ve daha önce bilinmeyen bir veri silecek olan CryWiper, yakın zamanda keşfedildi ve internette yayılıyor. Ayrıca bu fidye yazılımı, bulaştığı verileri şifrelemek yerine tamamen yok eder.
Rus medyasının aktardığına göre, Rus belediye başkanının ofislerine ve mahkemelerine yönelik bir saldırı sırasında bu senaryo tespit edildi.
Bu sonbaharda Kaspersky, CryWiper’ı keşfeden ilk şirket oldu ve daha sonra kötü amaçlı yazılımın, kötü amaçlı yazılımın operatörleri tarafından gerçekleştirilen bir saldırıda bir Rus kuruluşuna saldırmak için kullanıldığını bildirdiler.
Teknik Analiz
CryWiper’ın kaynak kodu yakından incelenip analiz edildiğinde, hedeflerin verilerini silme yeteneğinin tamamen kasıtlı olduğu ve bu nedenle bunun bir hata olmadığı ortaya çıkıyor.
CryWiper öncelikle C++ ile yazılmıştır ve 64 bit mimariye dayalı bir Windows yürütülebilir dosyasıdır. Yapılandırmasının bir sonucu olarak, CryWiper çok sayıda WinAPI işlevini kötüye kullanır ve aşağıdaki ad altında gizli kalır:-
Kötü amaçlı yazılım zaten güvenliği ihlal edilmiş bir sistemde çalıştırılır çalıştırılmaz, otomatik olarak her beş dakikada bir çalıştırılmak üzere programlanmış görevlerin bir listesini oluşturur.
Bu Truva atı daha sonra komut ve kontrol sunucusuyla (C2), güvenliği ihlal edilmiş sisteme erişim elde etmek için virüs bulaşmış sistemin adını sunucuya bir parametre olarak iletmek.
Kötü amaçlı yazılımın davranışını ve özniteliklerini kontrol etmek için C&C sunucusu tarafından aşağıdaki dizeler gönderilir: –
‘Çalıştır’ seçeneği döndürülürse, CryWiper kötü amaçlı faaliyetine hemen başlayacaktır. Kurbanları kandırmak amacıyla, bazı durumlarda, tam infaz gecikmeleri 345.600 saniye civarında olan 4 güne kadar uzatılmaktadır.
Ayrıca, CryWiper’ın verileri yok etmek için kilitli verileri serbest bırakması gerekir ve bunu yapmak için kritik olarak işaretlenen ve bu işlemlerle ilgili tüm işlemleri durdurur:-
- MySQL
- MS SQL veritabanı sunucuları
- MS Exchange e-posta sunucuları
- MS Aktif Dizin web hizmetleri
CryWiper’ın bir sonucu olarak, Windows Kayıt Defteri de RDP bağlantılarını önleyecek şekilde değiştirilir, böylece uzaktaki BT uzmanları bir olay meydana geldiğinde müdahale edemez ve yanıt veremez hale gelir.
Yoksayılan Dosya Uzantıları ve Dizinler
Aşağıda, CryWiper tarafından yok edilmeyen tüm dosya türlerinden bahsetmiştik:-
- .exe
- .dll
- .bağlantı
- .sys
- .msi
- .AĞLA
Ek olarak, aşağıdaki dizinler de CryWiper tarafından atlanır ve bu da işlevselliğin tamamen kaybolmasına neden olur:-
- C:\Windows
- tmp
- kazanır
- sıcaklık
- baş parmak
- Sistem ses bilgisi
- Bot
- pencereler
- Trend Mikro
Dosyaları bozmak için algoritma olarak ‘Mersenne Twister’ olarak bilinen sahte bir sayı üreteci kullanılır.
Bu tamamlandığında, CryWiper tarafından ‘README.txt’ başlıklı bir fidye notu oluşturulacak. Bu notta, serbest bırakılması için bir şifre çözücü karşılığında yaklaşık 8.000 $ olan 0.5 Bitcoin istiyor.
CryWiper kötü amaçlı yazılımı, geleneksel tarzda bir fidye yazılımı dosyası değildir, ancak kısa sürede büyük miktarda veriyi yok edebilen bir kötü amaçlı yazılım programıdır.
öneriler
Aşağıda, güvenlik uzmanları tarafından tavsiye edilen tüm önerilerden bahsetmiştik: –
- Kötü amaçlı yazılımları tespit etmek ve engellemek için davranışsal dosya analizi yaptığınızdan emin olun.
- İzinsiz girişleri zamanında tespit edebilen ve bu izinsiz girişlere uygun şekilde yanıt verebilen çeşitli MDR ve SOC hizmetleri vardır.
- Dinamik analize dayalı olarak e-posta eklerinden gelen kötü amaçlı dosyaların ve URL’lerin engellenmesi yapılmalıdır.
- Düzenli olarak sızma testleri yapmak ve gerektiğinde RedTeam projelerine katılmak.
- Tehditlere ayak uydurabilmek için tehdit verilerinin izlenmesi gerekmektedir.
Hizmet Olarak Sızma Testi – Red Team ve Blue Team Workspace’i İndirin