Crypto24 suşunun arkasındaki operatörler, meşru sistem araçlarını ağlara sızmak, kalıcılığı korumak ve uçucu tespit ve yanıt (EDR) sistemlerinden kaçmak için ısmarlama kötü amaçlı yazılımlarla harmanlayan yüksek koordineli, çok aşamalı saldırılar kullanıyor.
Trend mikro araştırmacılarının ayrıntılı analizine göre, bu rakipler özellikle finansal hizmetler, üretim, eğlence ve teknoloji sektörlerine odaklanarak Asya, Avrupa ve Amerika Birleşik Devletleri’nde yüksek profilli kuruluşları hedefliyor.
Saldırılar, algılamayı en aza indirmek için sıklıkla yoğun saatlerde ortaya çıkar, yanal hareket için Psexec, uzaktan erişim için herhangi bir kişi ve kimlik bilgisi hasat için anahtarlogerlar gibi araçlardan yararlanırken, Google Drive üzerinden verileri ekler.
Bu “araziyi yaşamak” (LOTL) yaklaşımı, kötü niyetli faaliyetleri rutin BT işlemleriyle sorunsuz bir şekilde bütünleştirerek tehdit aktörlerinin ayrıcalıklı hesaplar oluşturmasına, şifreleri sıfırlamasına ve net.exe gibi yerel Windows yardımcı programlarını kullanarak varsayılan yönetim profillerini yeniden etkinleştirmesine izin verir.
Kalıcılık, anahtarloger ve fidye yazılımı dahil yükleri dağıtmak için %programdata %\ update \ \ gibi gizli dizinlerden toplu komut dosyaları yürüten Svchost.exe gibi meşru süreçler olarak maskelenen planlanan görevler ve kötü amaçlı hizmetler yoluyla daha da sağlanır.
Crypto24 Fidye Yazılımı Kampanyaları
Rapora göre, saldırı zinciri keşifle başlar, burada 1.bat gibi komut dosyaları, WMIC komutlarını disk bölümlerini, fiziksel bellek, yerel kullanıcı hesapları ve grup üyeliklerini numaralandırmak için kullanır ve saldırganlara hedeflenen sömürü için kapsamlı bir sistem profili sağlar.
Ayrıcalık yükseltme, yükseltilmiş komutları çalıştırmak için runas.exe ve psexec kullanarak, yöneticilere ve uzak masaüstü kullanıcı gruplarına yeni oluşturulan kullanıcılar ekleyerek takip eder.
Savunma kaçırma, wdfilter.sys veya mpksldrv.sys gibi savunmasız sürücüleri yükleyerek EDR geri çağrılarını devre dışı bırakan, özellikle trend micro, Kaspersky ve BitDefender dahil olmak üzere satıcılardan ürünleri hedefleyen EDR geri çağrılarını devre dışı bırakan bir açık kaynaklı bir araç olan özel seviyelere ulaşır.
%Userprofile %\ appData \ local \ temp \ low \ avb.exe gibi yollarda tespit edilen bu araç, aktörlerin güvenlik yığınları hakkında derin bilgisini gösteren şirket meta verilerine dayalı geri çağrıları filtreler.
Yanal hareket, kayıt defteri değişiklikleri ve güvenlik duvarı kuralları aracılığıyla RDP’yi sağlayan uzaktan hizmetleri kullanırken, IP tarayıcıları gibi araçlar ek uç noktaları tanımlar.
Kimlik bilgisi erişimi, winmainsvc.dll’yi tuş vuruşlarını yakalayan, kontrol anahtarlarını günlüklendiren ve test dosyalarıyla işlevselliği doğruladıktan sonra WinInet API çağrılarını kullanarak Google Drive’a veri yükleyen bir Keylogger hizmeti olarak dağıtılmasını içerir.
Daha sonraki aşamalarda, saldırganlar birden fazla RDP oturumuna izin vermek, gelişmiş uzaktan kumanda için tufitVNC’yi yüklemek ve msruntime.dll hizmetleri aracılığıyla fidye yazılımı dağıtımını denemek için terimleri düzenleyin.
İlk infazlar güvenlik çözümleri tarafından engellendiğinde, rakipler, ağ paylaşımlarından gpscript.exe aracılığıyla xbcuninstaller.exe gibi meşru kaldırıcıları kötüye kullanmaya başvurur ve doğal güvenlik açıklarından ziyade kontromise sonrası sömürüyü vurgular.
Bu dizi, genellikle veri açığa çıkması ve gözetiminden önce, şifreleme ve fidye notalarıyla sonuçlanır.
Savunma önerileri
Bu tür uyarlanabilir tehditlere karşı koymak için kuruluşlar, EDR ajanlarıyla kurcalamayı önlemek ve en az ayrıcalık prensibine bağlı kalmak için ajan kendi kendini koruma özelliklerini sağlamak da dahil olmak üzere sağlam güvenlik konfigürasyonlarına öncelik vermelidir.
Ayrıcalıklı hesapların düzenli denetimleri, planlanan görevler ve hizmet yaratımlarının yanı sıra, sürekli erişim doğrulaması ile sıfır bir güven çerçevesi uygulamak, kalıcılık mekanizmalarını bozabilir.
RDP ve uzaktan araç kullanımını sınırlamak, çok faktörlü kimlik doğrulamayı (MFA) uygulamak ve SC.EXE veya Reg.exe gibi LOLBIN’lerin anormal kullanımlarının izlenmesi esastır.
Çevrimdışı yedeklemeleri tutmak, güncel güvenlik çözümleri sağlamak ve kullanıcıları kimlik avı riskleri konusunda eğitmek savunmaları daha da artırır.
Bulut hizmetlerine olağandışı giden trafik gibi IOC’ler için proaktif avcılık da dahil olmak üzere hızlı olay yanıtı, kripto24 operasyonlarında kapsamlı keşif ve pessfiltrasyon sağlayan uzun süreli bekleme sürelerini azaltmak için kritik öneme sahiptir.
Fidye yazılımı grupları savunmaları incelemek ve atlamak için geliştikçe, siber güvenlik duruşlarının çevik uyarlaması kurumsal esneklik için zorunludur.
AWS Security Services: 10-Point Executive Checklist - Download for Free