Tehdit aktörleri, çok aşamalı siber saldırıların dinamik dünyasında gizli kalabilmek için uç nokta tespiti ve yanıt (EDR) sistemlerine nötralize edici olarak daha yüksek bir öncelik oluşturuyor.
2022’den bu yana, kötü amaçlı yazılım sofistike, özellikle de tehlikeye atılan uç noktalarda EDR’yi devre dışı bırakmak için tasarlanmış araçlarla arttı.
Genellikle fidye yazılımı bağlı kuruluşları tarafından geliştirilen veya yeraltı pazarlarından kaynaklanan bu yardımcı programlar, HeartCrypt için HeartCrypt gibi hizmet olarak paketleyiciyi güçlendirir.
Dikkate değer bir örnek, aktif fidye yazılımı kampanyalarında gözlenen kalp krizi dolu örneklere gömülü Avkiller aracıdır.
Binlerce benzer eserden dolayı tespit edilen bu yük, ağır koruma katmanları sergiler, değişken bir güvenlik satıcısı listesini hedefler ve tehlikeye atılan sertifikalarla imzalanmış kötü amaçlı sürücülere dayanır.
EDR kaçırma taktiklerinde artan sofistike
Örneğin, bir varyant, UA8s.exe (SHA-1: 2BC75023F6A4C50B21EB54D1394A7B8417608728), Beyond Compare’in pano karşılaştırması gibi meşru yardımcı programlara kötü niyetli kodlar enjekte eder, rastgele adlandırılan sürücüler için yürütme için bir yürütme, kendisini çözmek için kendisini ortaya çıkarır. 21A9CA6028992828C9C360D752CB033603A2FD93).
Bir Sophos raporuna göre, genellikle meşru bileşenler olarak görünen bu sürücüler (örneğin, Crowdstrike Falcon sensörünü taklit eden), 2016’dan beri iptal edilen sertifikalarla Changsha Hengxiang Information Technology Co., Ltd. gibi istismar edilmiş kuruluşlar tarafından imzalanıyor.
Daha yeni yinelemeler, 2012’den beri geçersiz olan Fuzhou Dingxin Trade Co., Ltd.’den imzalar kullanıyor ve süresi dolmuş veya tehlikeye atılmış imza altyapısının çekirdek seviyesi korumalarını atlamak için kullanılmasını vurguluyor.
Avkiller’in işlevselliği çok yönlüdür: Bitdefender, Cylance, F-Secure, Fortinet, HitmanPro, Kaspersky, McAfee, Microsoft, Sentinelone, Sophos, Symantec, Trend Micro ve Webrroot gibi satıcılardan süreç ve hizmetleri sonlandırır.
Hedef listesi, bazen bir veya iki satıcıya odaklanan numuneler arasında değişir, bazen daha geniş bir diziyi kapsar ve belirli ortamlara uyarlanabilirlik gösterir.
Gerekli sürücü yoksa, araç “cihaz alamadı” hatasıyla durur, ancak sürücünün adına bağlı bir hizmet oluşturur ve kalıcılık sağlar.
Bellek dökümleri niyetini doğrular, msmpeng.exe, sophoshealth.exe, savservice.exe ve sophosui.exe gibi süreçleri hedefleyen dizeleri ortaya çıkarır.
Tespit genellikle mal/hcrypt- veya troj/hcrypt- gibi statik kurallar veya syscall, dynamicShellcode veya HollowProcess gibi dinamik hafifletmeler yoluyla meydana gelir ve aracın ağır aşım ve kod enjeksiyonu yoluyla kaçınmaya olan güveninin altını çizer.
Gerçek dünya dağıtımları
Avkiller’in konuşlandırılması, gruplar arasında potansiyel araç paylaşımı olduğunu düşündüren Blacksuit, Ransomhub, Medusa, Qilin, Dragonforce, Crytox, Lynx ve Inc gibi ailelerin saldırılarında görünen fidye yazılımı operasyonları ile sıkı bir şekilde birleştirilmiştir.
Tipik bir Ransomhub olayında, kalp krizi dolu bir damlalık (örneğin, vp4n.exe, sha256: c793304fabb09bb631610f17bb2e6811d24b252a1b05d) ‘nin driver, driver, driver.
Ardından fidye yazılımı yürütme (örneğin, fopefi.exe, sha256: e1ed281c521ad72484c7e5e74e50572b484543c6bcbd480f698c2812cdfe).
Bir Medusalocker vakası, SimpleHelp’te sıfır gün uzaktan kod yürütme yoluyla ilk erişimi vurguladı ve 6vwq.exe (SHA256: 43CD3F77B047EA5205B6491137C5B7B7B7CCE05B6413137C5B7B7B7CCE05B641137C5B7B7B7CCE05B6491137C5B7B7B7CCE05B64913A, Bir yüke açma (SHA256: A44AA98DDD837010265E4AF1782B57989DE07949F0C704A6325F75AF956CC85DE) Altı satıcıyı hedefleyen, Medusa ransomware (SHA256C66 3A6D5694EEC724726EFA3327A50FAD3EFDC623C08D647B51E51CD578BDDDA3DA).
Haziran 2025’te bir Inc Ransomware saldırısı, CSD2.exe’de güncellenmiş bir taklitçiler tarzı paketleyiciyi birleştirerek katmanlı ambalajı sergiledi (SHA256: CE1ba2A584C7940E499194972E148CDB03CEECA9061, upcttct1) (Örn, SHA256: 61557A55AD40B8C40F363C4760033EF3F4178BF92CE0DB657003E718DFFD25BD) ve katilin yerleştirilmesi (SHA256: Noedt.sys (SHA256: SHA256 yükleyen 597d4011deb4f08540e10d1419b5cbdfb38506ed53a5c0ccfb12f96c74f4a7a1). 6FC26E8AC9C44A8E461A18B20929F345F8CFC86E9A454EE3509084CF).
Cryptoguard hafifletmeler, Readme.txt gibi fidye notlarıyla sonraki şifrelemeyi işaretledi. Bu aileler arası kullanım, fidye yazılımı aktörleri arasında bilgi aktarımını gösterir ve koordineli saldırılarda EDR kaçırma araçlarının tehdidini artırır.
Uzlaşma Göstergeleri (IOCS)
| Dosya adı | Karma türü | Karma değeri |
|---|---|---|
| ua8.exe | SHA-1 | 2bc75023f6a4c50b21b54d1394a7b8417608728 |
| MRAML.SYS | SHA-1 | 21A9CA6028992828C9C360D752CB033603A2FD93 |
| vp4n.exe | SHA256 | C793304FABB09BB631610F17097B2420E020BAB87B2E6811D24B252A1B05D |
| Fopefi.exe | SHA256 | E1ED281C521AD72484C7E74E50572B48E945543C6BCBD480F698C2812CDFE |
| 6vwq.exe | SHA256 | 43cd3f8675e25816619f7b047ea5205b6491137b77cce0585337bdc9f98 |
| Milanosoftware.exe | SHA256 | 3A6D5694EC724726efa3327a50fad3efc623c08d647b51e51cd578bda3da |
| CSD2.EXE | SHA256 | CE1BA2A584C7940E499194972E1BD6F82FBAE2ECF2148CDB03CEECA906D151 |
| noedt.sys | SHA256 | 6FC26E8AC9C44A8E461A18B20929F345F8CFC86E9A454EE3509084CF6ECE3BE |
The Ultimate SOC-as-a-Service Pricing Guide for 2025– Ücretsiz indir