Checkpoint araştırmacıları, “Rorschach” adlı ve ABD şirketlerini hedef alan son derece gelişmiş özelliklere sahip yeni ve daha önce bilinmeyen bir fidye yazılımı türü buldu.
Rorschach fidye yazılımı, teknik olarak benzersiz ve özelleştirilmiş özellikler ve fidye yazılımı tarihinde hiç bulunmayan şifreleme hızıyla gözlemlenen en hızlı fidye yazılımlarından birini taşır.
İlginç bir şekilde, fidye yazılımının arkasındaki Tehdit aktörleri, bilinen hiçbir fidye yazılımında bulunmayan benzersiz özellikler uyguladı.
Rorschach, genellikle diğer fidye yazılımı türleri tarafından gerçekleştirilen manuel eylemleri ortadan kaldırmasına izin veren kısmen otonom bir sistem geliştirdi; bunun yerine, bir etki alanı grubu ilkesi (GPO) oluşturmak gibi bazı işlevleri otomatikleştirir.
Araştırmacılar başlangıçta bu Rorschach fidye yazılımı türünü ABD merkezli bir şirketteki fidye yazılımı olayını araştırırken buldular.
Ticari bir güvenlik ürününün imzalı bir bileşeni kullanılarak konuşlandırıldı ve fidye yazılımı herhangi bir fidye yazılımı grubu ve bağlı kuruluşuyla ilişkilendirilmedi.
Rorschach Fidye Yazılımı Teknik Analizi
Davranış analizi sırasında, kısmen özerk olduğu için araştırmacılar, fidye yazılımının Etki Alanı denetleyicisinde ve virüslü makinelerden gelen olay günlüklerinde çalıştırıldıktan hemen sonra otomatik olarak yayıldığını belirtti.
Rorschach yerleşik konfigürasyona ve çok sayıda isteğe bağlı argümana dayalı olarak operatörün ihtiyaçlarına göre davranışı değiştirebilir.
Araştırmacılar, en rezil fidye yazılımı ailelerinden ilham alan fidye yazılımının, doğrudan sistem çağrıları gibi bazı benzersiz işlevler de eklediğine inanıyor.
Rorschach, Palo Alto’nun ticari bir güvenlik ürünü olan Cortex XDR Dump Service Tool’u kullanıyor ve hedeflenen kurbanın makinesine konuşlandırmak için DLL yandan yükleme yapıyor.
Yürütme aşamalarında, Rorschach Aşağıdakilerden 3 dosya kullandı:
- cy.exe – Cortex XDR Dump Service Tool sürüm 7.3.0.16740, yandan yükleme için kötüye kullanıldı
winutils.dll - winutils.dll – Fidye yazılımının şifresini çözmek ve enjekte etmek için kullanılan paketlenmiş Rorschach yükleyici ve enjektör.
- config.ini – Tüm mantığı ve yapılandırmayı içeren şifreli Rorschach fidye yazılımı.
Analizi zorlaştırmak için Rorschach, yeniden oluşturma işlemlerini çalıştırmak, tahrif edilmiş bağımsız değişkenleri iletmek ve yürütmeyi gerçek bağımsız değişkenle değiştirip bellekte yeniden yazarak benzersiz kılmak için SUSPEND modunu kullanır.
Yukarıdaki teknik, aşağıdaki işlemi gerçekleştirmek için kullanılır.
- Kullanarak önceden tanımlanmış bir hizmet listesini durdurma girişimi
net.exe stop. - gibi yasal Windows araçlarını kullanarak kurtarmayı güçlendirmek için gölge birimleri ve yedekleri silin.
vssadmin.exe,bcdedit.exe,wmic.exeVewbadmin.exe - Koşmak
wevutil.exeAşağıdaki Windows olay günlüklerini temizlemek için: Uygulama, Güvenlik, Sistem ve Windows Powershell. - Kullanarak Windows güvenlik duvarını devre dışı bırakın
netsh.exe
Rorschach, savunma mekanizmalarından kaçmak için alışılmadık bir teknik kullanıyor. Ayrıca fidye yazılımı otomatik olarak bir Grup İlkesi oluşturarak kendisini etki alanındaki diğer makinelere yayar.
Şifreleme İşlemi
Rorschach, şifreleme işlemi için curve25519 ve eSTREAM cipher hc-128 algoritmalarının karışımı olan oldukça etkili ve hızlı bir hibrit kriptografi şeması olan bir şifreleme yöntemi kullanır.
Bu yöntem, Rorschach’ın dosyanın tamamı yerine belirli bir bölümünü şifrelemesine yardımcı olur. “WinAPI CryptGenRandom kurban başına özel anahtar olarak kullanılan kriptografik olarak rasgele baytlar oluşturmak için kullanılır. Paylaşılan sır, hem oluşturulan özel anahtar hem de sabit kodlanmış bir genel anahtar kullanılarak eğri25519 aracılığıyla hesaplanır. Kontrol noktası dedi.
Rorschach’ın şifreleme yordamı, yalnızca daha önce bahsedilen hızlı şifreleme şemasını değil, aynı zamanda aracılığıyla iş parçacığı planlamasının oldukça etkili bir şekilde uygulanmasını da önerir. G/Ç tamamlama bağlantı noktaları.’
Yapılan hız testi sonucunda LockBit v.3 7 dakika sürerken, Rorschach dosyaları 4 dakika 30 saniye içerisinde şifreliyor.
Fidye Notları
Rorschach fidye yazılımı, bilinen herhangi bir fidye yazılımı grubuyla açıkça ilişkili değildir ve fidye yazılımı notu tamamen farklıdır.
Rapora göre, ortaya çıkan fidye notu tamamen farklıydı. Not, DarkSide tarafından yayınlananlara çok benziyordu ve bu, grubun Mayıs 2021’den beri etkin olmamasına rağmen muhtemelen bu yeni fidye yazılımının “DarkSide” olarak adlandırılmasına yol açtı.”
IOC’ler
Dosyalar
| İsim | Doğramak | Yorumlar |
| cy.exe | 2237ec542cdcd3eb656e86e43b461cd1 | PA Cortex Dump Service Tool (iyi huylu dosya) |
| winutils.dll | 4a03423c77fe2c8d979caca58a64ad6c | Notepad.exe’ye yükleyici ve enjektör |
| config.ini | 6bd96d06cd7c4b084fe9346e55a81cf9 | Şifrelenmiş fidye yazılımı yükü |
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin
Oku oku:
Uydu ve Uzay Endüstrisine Saldıran Fidye Yazılım Grupları
ChatGPT Fidye Yazılımı Yazmaya Hazır Ama Derine inemedi
Kraliyet Fidye Yazılımı, Özel Yapım Şifreleme Kötü Amaçlı Yazılımını Kullanarak 11 Milyon ABD Dolarına Varan Kazandı
Dish Network Saldırıya Uğradı – Fidye Yazılımı Saldırısı Çok Günlük Kesintiye Neden Oldu