20 Haziran 2024’te Endonezya Ulusal Veri Merkezi’ne yapılan bir siber saldırı sonucu devlet hizmetleri çevrimdışı kaldı. Araştırmacılar, kesintinin, hedefleri yeni bir fidye yazılımı türü olan Brain Cipher ile enfekte eden yeni bir bilgisayar korsanı grubuna bağladıklarını söyledi.
LockBit fidye yazılımı ailesinin bir çeşidi olan Brain Cipher, sızdırılan LockBit 3.0 Builder kullanılarak oluşturuldu. Şifrelemeden önce dosyaların kurbanın ağından çalındığı çift gasp planlarını gerçekleştirmek için dünya çapındaki hedeflere karşı konuşlandırıldı.
Eyleme dönüştürülebilir içgörüler için, Brain Cipher’ı statik ve dinamik analiz yoluyla parçalara ayıracağız ve ardından onu engellemek için tespitleri şu şekilde göstereceğiz: Cynet’in Hepsi Bir Arada Siber Güvenlik Çözümü.
- Statik analiz Kötü amaçlı yazılımın işlevselliğini ve yeteneklerini daha iyi anlamak için Brain Cipher’ın kaynak kodunu inceleyeceğiz.
- Dinamik analiz Saldırı akışını göstermek için kontrollü bir ortamda Brain Cipher’ı çalıştırır.
For more step-by-step demonstrations to stop real-world threats, make sure to watch “How to Achieve Total Protection with an All-in-One Platform.”
Statik Analiz
Brain Cipher’ın kaynak kodunu ayrıştırarak fidye yazılımının işlevselliğini daha iyi anlayabiliriz.
- Dosyanın yüksek entropisi, onun paketlenmiş olduğunu gösteriyor:
- Brain Cipher’ın dosya dizeleri hangi işlemleri gerçekleştirmek üzere tasarlandığını belirtmiyor.
Dosya paketlenmiş olduğundan, tüm yeteneklerinin ortaya çıkarılması için yürütülmesi gerekir.
Dinamik Analiz
Daha sonra BrainCipher’ı kontrollü bir ortamda çalıştırarak saldırı akışını adım adım gözlemleyeceğiz.
- Çalıştırma sırasında BrainCipher, CLASID {3E5FC7F9-9A51-4367-9063-A120244FBEC7}’yi çalıştırmak için parametrelerle DllHost.exe’yi yürütür, bu CLSID cmstplua.dll ile ilişkilidir ve genellikle saldırganlar tarafından Kullanıcı Hesabı Denetimi’ni (UAC) atlatmak için kötüye kullanılır.
- DllHost.exe daha sonra BrainCipher yürütülebilir dosyasının başka bir örneğini oluşturur ve orijinal işlem sonlanır:
- Yeni BrainCipher işlemi “C:\sYMY1N6ah.README.txt” fidye notu dosyasını oluşturur:
- İşlem, dosya sistemini tarayarak ve dosyaların şifrelenmesini başlatarak devam eder. Şifrelenmiş dosya adları, rastgele bir karakter dizisine dönüştürülür ve rastgele oluşturulmuş bir uzantı olan “.sYMY1N6ah” ile eklenir:
- Daha sonra Brain Cipher fidye notu etkilenen her klasöre bırakılır.
- Kurbanın kolluk kuvvetleriyle iletişime geçmesini veya dosyaları kurtarmaya çalışmasını yasaklıyor. Notta, bu eylemler gerçekleştirilirse tehdit aktörlerinin kurbanlarla tüm iletişimi keseceği uyarısı yapılıyor.
- Mağdurlara bunun yerine TOR ağında barındırılan Onion sayfaları aracılığıyla tehdit aktörleriyle iletişime geçmeleri talimatı veriliyor:
- İşlem daha sonra “\\” dosyasını oluşturmaya çalışır.
*\MAILSLOT\NET\NETLOGON”.
- Bu, NetBIOS datagram taşıma protokolü üzerinden istemci ve sunucu uygulamaları arasında iletişim sağlamak için kullanılabilen “Uzak Mailslot Protokolü” ile ilgilidir.
- Bu durumda, Netlogon Uzak Protokolü etki alanı denetleyicilerini bulmak için Uzak Posta Yuvası Protokolünü kullanır
- İşlem, tüm Windows olay günlüğü kanallarının kayıt defteri anahtarlarının değiştirilmesiyle devam eder.
- İşlem, gelecekteki günlük kaydını devre dışı bırakmak ve kullanıcının mevcut dosyaları görüntüleme erişimini kaldırmak için her kanal kayıt defteri anahtarının “ChannelAccess” ve “Enabled” kayıt defteri değerlerini değiştirmeye çalışır:
- Windows olay günlüğü dosyalarını görüntüleme girişimi aşağıdaki hata iletisini görüntüler:
- Windows Olay Görüntüleyicisi uygulamasının kendisini çalıştırmak, hiçbir veri tutmadığını gösteriyor:
- İşlem, kendisini sonlandırmadan önce “C:\ProgramData\9EA9.tmp” dosyasını oluşturur ve yürütür. Yeni oluşturulan işlem, Brain Cipher yürütülebilir dosyasını “C:\Users\*\Desktop\AAAAAAAAAAAAAAAA” olarak yeniden adlandırır:
- Dosya daha sonra tekrar “C:\Users\*\Desktop\BBBBBBBBBBBBBBBBBB” olarak yeniden adlandırılır:
- Bu, “C:\Users\user\Desktop\ZZZZZZZZZZZZZZZZ” dizinine kadar tüm alfabetik karakterler boyunca devam eder ve ardından dosya silinir:
- “9EA9.tmp”, kendisini ana bilgisayardan silmek için komutlar çalıştıran “cmd.exe”yi çalıştırır ve kötü amaçlı yazılımın yürütülmesini sonlandırır:
İşte tam süreç ağacının görünümü:
MITRE ATT&CK Taktikleri ve Teknikleri
| Uygulamak | Ayrıcalık yükseltme | Savunma kaçınma | Keşif | Darbe |
| Komut ve Komut Yorumlayıcısı | Kötüye Kullanım Yükseltme Kontrol Mekanizması | Kötüye Kullanım Yükseltme Kontrol Mekanizması | Dosya ve Dizin Keşfi | Etki İçin Şifrelenmiş Veriler |
| İşlemler Arası İletişim | Dosya ve DizinİzinleriDeğişiklik | Hizmet Durdurma | ||
| Gösterge Kaldırma | ||||
| Kayıt Defterini Değiştir |
Cynet ve Brain Cipher Karşılaştırması
Burada Brain Cipher fidye yazılımının nasıl tespit edileceğini göstereceğiz Cynet’in Hepsi Bir Arada Siber Güvenlik Platformu.
- Yürütme simülasyonu sırasında Cynet’in Brain Cipher’ın tam akışının yürütülmesine izin vermek için Algılama Modu’nda (engelleme olmadan) yapılandırıldığını unutmayın. Bu, saldırıdaki her adımın tetiklenmesini ve günlüğe kaydedilmesini kolaylaştırır.
Cynet ortakları ve müşterileri açısından şanslı olan şey, All-in-One Cybersecurity Platform’un dört katmanlı mekanizmayı kullanarak bu fidye yazılımını kolayca tespit edip engellemesidir.
- Dosya Diske Döküldü
Cynet’in AV/AI motoru, kötü amaçlı bir dosyanın diske döküldüğünü veya çalıştırılmaya çalışıldığını tespit ediyor:
- Kötü Niyetli İkili
Cynet, dosyanın SSDEEP karma değerini inceleyerek dosyanın kötü amaçlı olduğunu belirler:
- Süreç İzleme
Cynet, ayrıcalık yükseltmeyi başarmak için UAC’yi (Kullanıcı Hesabı Denetimi) aşma girişimlerini ve imzalanmamış bir işlemin şüpheli şekilde yürütülmesini algılar:
- Yetkisiz Dosya İşlemi Girişimi
Cynet, Brain Cipher’ın Cynet’in fidye yazılımı sahte dosyalarını değiştirme girişimlerini ve ayrıca bir fidye notu dosyasının varlığını tespit eder ve raporlar:
Harekete geçin
Brain Cipher’ın davranışı finansal olarak motive olmuş tehdit aktörlerinin tipik davranışıdır. Bu nedenle, kuruluşlar (özellikle MSP’ler ve sınırlı siber güvenlik kaynaklarına sahip küçük ve orta ölçekli işletmeler) risklerini azaltmak için uygun maliyetli korumalar uygulamalıdır.
“Cynet, tek ve basit bir çözümde tam bir güvenlik paketini birleştirmek için özel olarak oluşturulmuştur. Bu avantajları eylem halinde görmek için, izlemek için kaydolun Uzmanlar gerçek dünyadaki tehditleri simüle ederken veya daha da derinlemesine bir inceleme için rezervasyon yaptırırken bire bir demo Bugün Cynet uzmanlarıyla görüşün.