Fidye yazılımı saldırıları da dahil olmak üzere bir dizi siber saldırının ardından Microsoft, yakın zamanda birkaç Microsoft donanım geliştirici hesabını iptal etti.
Koordineli bir açıklamada, haberler aşağıdaki kuruluşlardan geldi:-
- Microsoft
- Mandiant
- Sofos
- SentinelOne
Tehdit aktörleri tarafından kullanılan kötü amaçlı çekirdek modu donanım sürücülerinin güvenilirliğini doğrulamak için Microsoft’un Windows Donanım Geliştirici Programından alınan Authenticode imzaları kullanılmıştır.
Microsoft İmzalı Kötü Amaçlı Windows Sürücülerini Kötüye Kullanma
Windows’ta çekirdek modu donanım sürücüleri, çekirdek modunda yüklendikleri için yüklendiklerinde en yüksek ayrıcalık düzeyine sahip olurlar. Bu ayrıcalıkların, sürücüye başka türlü izin verilmeyen çeşitli kötü niyetli etkinlikleri gerçekleştirme yeteneği vermesi olasıdır.
Bu eylemleri gerçekleştirmek için aşağıdaki görevler gerçekleştirilir: –
- Güvenlik yazılımını devre dışı bırakın
- Korumalı dosyalar silinir
- Kötü amaçlı işlemleri gizlemek için rootkit olarak hareket edin
Windows Donanım Geliştirici Programı, Microsoft tarafından geliştirilen ve çekirdek düzeyinde çalışan donanım sürücülerinin imzalanmasını gerektiren bir programdır. Çekirdek modu donanım sürücüleri, Windows 10’da gereklidir.
Geliştiricilerin, kodun okunaklı görünmesi için birkaç doğrulama aşamasından geçmesi gerektiğinden. Aşağıda bu aşamalardan bahsetmiştik: –
- Donanım Geliştirici programına kaydolun
- Genişletilmiş Doğrulama (EV) sertifikası tanımlayın veya satın alın
- Windows Sürücü Kitini (WDK) indirin ve kurun
- Onay için gönderilecek CAB dosyasını oluşturun. CAB dosyası, sürücünün kendisini, sürücü INF’sini, simge dosyasını ve katalog dosyalarını içerir.
- CAB dosyasını EV sertifikasıyla imzalayın
- EV imzalı CAB’yi donanım panosundan gönderin
- Microsoft sürücüyü imzalayacak
- Donanım kontrol panelinden imzalı sürücüyü indirin
- İmzalı sürücüyü doğrulayın ve test edin
Üstelik bu program sayesinde Microsoft tarafından imzalanan koda birçok güvenlik platformu tarafından otomatik olarak güvenilmektedir. Bu nedenle, kötü amaçlı bir kampanya tarafından kullanılabilmesi için Microsoft tarafından bir çekirdek modu sürücüsünü imzalayabilmenin yüksek bir değeri vardır.
Mandiant, bugüne kadar sürekli olarak güvenliği ihlal edilmiş veya çalınmış sertifikaların kullanımı yoluyla sertifikalarda kod imzalama rolünü üstlenen tehdit aktörlerini gözlemlemiştir.
Güvenlik Yazılımı Sonlandırma Araç Seti
UNC3944’ün, Mandiant tarafından yetkilendirme imzalama süreci aracılığıyla imzalanan kötü amaçlı yazılım kullandığı belirlendi. UNC3944, en azından Mayıs 2022’den bu yana, mali kazançla motive olan aktif bir tehdit aktörleri grubu olmuştur.
Ağustos 2022 gibi erken bir tarihte, UNC3944’ün şu unsurların her ikisini de konuşlandırdığı gözlemlendi:-
Fidye yazılımı ve SIM Değiştirme Bağlantılıdır
Birkaç farklı tehdit aktörü, üç şirketin gördüğü araç setini kullanıyor. Bir olaya müdahale çalışmasında, Sophos’un Hızlı Müdahale ekibi, bilgisayar korsanları bilgisayar sistemlerine son bir yük dağıtamadan bir saldırıyı sonlandırdı.
Sophos’a göre, bu kötü amaçlı yazılımın bir çeşidi daha önce Küba fidye yazılımı operasyonunda kullanılmıştı. SentinelOne güvenlik uzmanları, bu Microsoft imzalı araç setini kullanan aşağıdaki varlıklara yönelik saldırıları da fark ettiler:-
- Telekomünikasyon
- BPO
- MSSP
- Finansal hizmetler işletmeleri
Hive Ransomware operasyonu, saldırısının bir parçası olarak bir tıp firmasına karşı kullanıldığı belirli bir vakada kullandı. Ayrıca, tasdik programının bir parçası olarak bu Microsoft sertifikasını kullanan birçok yasal ikili dosya vardır.
Kötü amaçlı dosyalar tarafından kullanılan sertifikaları iptal etmek için yakın zamanda Microsoft tarafından yeni bir güvenlik güncellemesi yayınlandı. Ayrıca, imzalanan sürücüleri göstermek için kullanılan hesapları da askıya alır.
Şirket, kötü niyetli sürücülerin inceleme sürecini en başta nasıl atlattığını henüz açıklamadı.
Hizmet Olarak Sızma Testi – Red Team ve Blue Team Workspace’i İndirin