ABD hükümeti, AvosLocker fidye yazılımı ortaklarının saldırılarda kullandığı araçların listesini, özel PowerShell ve toplu komut dosyalarının yanı sıra açık kaynaklı yardımcı programları da içerecek şekilde güncelledi.
Ortak bir siber güvenlik danışma belgesinde, Federal Soruşturma Bürosu (FBI) ve Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), meşru bir ağ izleme aracı görünümündeki kötü amaçlı yazılımları tespit etmek için bir YARA kuralını da paylaşıyor.
Açık kaynaklı ve meşru yazılımı karıştırma
AvosLocker fidye yazılımı bağlı kuruluşlarının, kurumsal ağlardan verileri ele geçirmek ve güvenliği ihlal etmek amacıyla uzaktan sistem yönetimi için yasal yazılım ve açık kaynak kodu kullandığı biliniyor.
FBI, tehdit aktörlerinin özel PowerShell, web kabukları ve toplu komut dosyaları kullanarak ağda yanal olarak hareket ettiğini, ayrıcalıklarını artırdığını ve sistemlerdeki güvenlik aracılarını devre dışı bıraktığını gözlemledi.
Güncellenen danışma belgesinde ajanslar, AvosLocker fidye yazılımı bağlı kuruluşlarının cephaneliğinin bir parçası olarak aşağıdaki araçları paylaşıyor:
- Arka kapı erişimi için Splashtop Streamer, Taktik RMM, PuTTy, AnyDesk, PDQ Deploy, Atera Agent uzaktan yönetim araçları
- Açık kaynaklı ağ tünelleme yardımcı programları: Ligolo, Chisel
- Komuta ve kontrol için rakip emülasyon çerçeveleri Cobalt Strike ve Sliver
- Kimlik bilgilerini toplamak için Lazagne ve Mimikatz
- Veri hırsızlığı için FileZilla ve Rclone
AvosLocker saldırılarında gözlemlenen halka açık ek araçlar arasında Notepad++, RDP Tarayıcı ve 7zip yer alıyor. PsExec ve Nltest gibi meşru yerel Windows araçları da görüldü.
AvosLocker saldırılarının bir diğer bileşeni, meşru bir süreç gibi görünen ve “meşru bir ağ izleme aracı görünümüne sahip” NetMonitor.exe adlı bir kötü amaçlı yazılım parçasıdır.
Ancak NetMonitor, ağdan her beş dakikada bir gelen ve tehdit aktörlerinin tehlike ağına uzaktan bağlanmasını sağlayan bir ters proxy görevi gören bir kalıcılık aracıdır.
FBI, “gelişmiş bir dijital adli tıp grubunun” araştırmasının ayrıntılarını kullanarak, bir ağdaki NetMonitor kötü amaçlı yazılımını tespit etmek için aşağıdaki YARA kuralını oluşturdu.
rule NetMonitor
{
meta:
author = "FBI"
source = "FBI"
sharing = "TLP:CLEAR"
status = "RELEASED"
description = "Yara rule to detect NetMonitor.exe"
category = "MALWARE"
creation_date = "2023-05-05"
strings:
$rc4key = {11 4b 8c dd 65 74 22 c3}
$op0 = {c6 [3] 00 00 05 c6 [3] 00 00 07 83 [3] 00 00 05 0f 85 [4] 83 [3] 00 00 01 75 ?? 8b [2] 4c 8d [2] 4c 8d [3] 00 00 48 8d [3] 00 00 48 8d [3] 00 00 48 89 [3] 48 89 ?? e8}
condition:
uint16(0) == 0x5A4D
and filesize < 50000
and any of them
}
"AvosLocker bağlı kuruluşları, Amerika Birleşik Devletleri'ndeki birçok kritik altyapı sektöründeki kuruluşların güvenliğini ihlal ederek Windows, Linux ve VMware ESXi ortamlarını etkiledi" - FBI ve CISA
AvosLocker fidye yazılımına karşı savunma
CISA ve FBI, kuruluşlara, izin verilen programlar da dahil olmak üzere yazılımların yürütülmesini kontrol etmek ve ayrıca yetkisiz yardımcı programların, özellikle uzaktan erişim araçlarının taşınabilir sürümlerinin çalıştırılmasını önlemek için uygulama kontrol mekanizmaları uygulamasını tavsiye etmektedir.
Tehdit aktörlerine karşı savunmaya yönelik en iyi uygulamalardan biri, oturum açma denemelerinin sayısını sınırlandırarak ve kimlik avına karşı dayanıklı çok faktörlü kimlik doğrulama (MFA) uygulayarak RDP gibi uzak masaüstü hizmetlerinin kullanımına yönelik kısıtlamalardır.
En az ayrıcalık ilkesinin uygulanması da önerilerin bir parçasıdır ve kuruluşların, işleri için bunlara ihtiyaç duymayan kullanıcılar için komut satırını, komut dosyalarını ve PowerShell kullanımını devre dışı bırakması gerekir.
Yazılımı ve kodu en son sürüme güncel tutmak, daha uzun parolalar kullanmak, bunları karma biçimde saklamak, oturum açma bilgileri paylaşılıyorsa tuzlamak ve ağı bölümlere ayırmak, güvenlik uzmanlarının değişmez önerileri olmaya devam ediyor.
Mevcut siber güvenlik tavsiyesi, Mart ayı ortasında yayınlanan ve bazı AvosLocker fidye yazılımı saldırılarının şirket içi Microsoft Exchange sunucularındaki güvenlik açıklarından yararlandığını belirten önceki bir raporda sağlanan bilgilere ekleniyor.