Modern fidye yazılımı operasyonları, organizasyonel savunmaları sistematik olarak sökerken gizli ve kalıcılığı korumak için meşru uzaktan erişim araçlarından (sıçanlar) yararlanan sofistike, çok aşamalı kampanyalara basit fırsatçı saldırıların çok ötesinde gelişmiştir.
Fidye yazılımı, kritik organizasyonel verileri şifreleyen ve restorasyon için fidye ödemeleri talep eden en yıkıcı siber tehditlerden biridir.
İlk kampanyalar kitle kimlik avı veya fırsatçı kötü amaçlı yazılım dağıtımı üzerine güvenirken, modern fidye yazılımı operasyonları son derece sofistike, hedefli saldırılara dönüşmüştür.
Bu rakipler, geri çekilen, ayrıcalıkları artırmak ve kurumsal ağlar arasında yıkıcı yükler kurmak için AnyDesk, Ultraviewer, Rustesk ve Splashtop gibi güvenilir idari yazılımlara hitap ettiler.
Bugünün rakipleri sadece makineleri enfekte etmekle kalmaz, aynı zamanda ağlar boyunca yanal olarak hareket eder, kimlik bilgilerini hasat eder, savunmaları nötralize eder ve kalıcı kontrolü sürdürürken, hepsi gizli ve kaçınma tespiti kalır.
Bu makalede tartışılan uzaktan erişim araçları, BT yönetimini ve uzaktan desteği desteklemek için tasarlanmış meşru yazılım ürünleridir.
Bu içerik, rakiplerin yanlış yapılandırılmış, kötü yönetildikleri veya taklit edilmediği takdirde fidye yazılımı kampanyalarında onları nasıl kötüye kullanabileceğini vurgular. Araçların kendilerinin doğal olarak savunmasız veya kötü niyetli olduğunu göstermez.
Bu saldırıların önemli bir kolaylaştırıcısı, Anydesk, UltraViewer, Appanywhere, RusteSk, Clonedesk, Splashtop ve TightVNC gibi meşru uzaktan erişim araçlarının sömürülmesidir.
Başlangıçta BT yönetimi ve uzaktan destek için tasarlanan bu araçların birçoğu, saldırganların genellikle kötüye kullandığı, yaygın olarak güvenilir ve kurumsal ortamlarda sıklıkla beyaz listeye alınan ücretsiz veya serbestçe kullanılabilir sürümler sunar. Bu araçlar şunları sağlar:
- Gözetimsiz Erişim: Kullanıcı etkileşimi olmadan bağlanın.
- Dosya Aktarımı: İkili dosyaları taşıyın veya verileri pespiltratlayın.
- Etkileşimli Masaüstü Kontrolü: Yönetim görevlerini uzaktan yürüt.
- Şifrelenmiş iletişim: Ağdan kaçınma ağ izlemesi.
Kuruluşlar genellikle uzaktan erişim araçlarını beyaz listeye koyar ve saldırganların güvenlik kontrollerini atlamak ve gizli bir şekilde devam etmek için sömürdükleri dijital imzalarına güvenir.
Modern fidye yazılımı tehditlerine karşı etkili savunmalar oluşturmak için uzak erişim araçlarının nasıl istismar edildiğini anlamak kritiktir.
Fidye yazılımı öldürme zinciri
Fidye yazılımı öldürme zinciri, bir saldırının her aşamasını, ilk erişimden nihai etkiye kadar özetler. Saldırganlar meşru uzaktan erişim araçlarından yararlandıklarında, gizli, kalıcılık ve kontrol kazanırlar, algılama ve hafifletmeyi daha zor hale getirir.
Öldürme zincirinin her aşamasını anlamak savunucular için gereklidir. Saldırı kalıplarını erken tanımakla kalmaz, aynı zamanda saldırganları yollarındaki durdurmak için daha güçlü, katmanlı savunmalar oluşturmaya da yardımcı olur.
Her aşamayı yıkarak, güvenlik ekipleri düşman davranışını daha iyi tahmin edebilir ve ciddi hasara neden olmadan önce kötü niyetli etkinlikleri bozmak için zamanında harekete geçebilir.
Aşama 1: İlk Erişim – Kimlik Bilgisi Uzlaşma
Saldırganlar, güvenilir kullanıcılar olarak görünürken savunmaları atlayarak çalıntı veya kaba kuvvet kimlik bilgilerini kullanarak meşru erişim elde ederler. Yönetici hesaplarının hedeflenmesi maksimum kontrol sağlar ve uzaktan erişim aracı dağıtım ve yanal hareket gibi daha sonraki aşamaları sağlar.
Ortak Saldırı Yolları:
- RDP/SMB uç noktalarına karşı kaba kuvvet saldırıları.
- Sızıntılardan veya geçmiş ihlallerden kimlik bilgileri yeniden kullanın.
- Hedefleme Yöneticisi maksimum ayrıcalıkları hesaba katar.
Tespit Göstergeleri:
- Windows Olay IDS 4625 → 4624 (derhal birden fazla arızalı oturum açma ve ardından başarı).
- Olağandışı saatlerde RDP oturum açma tipi 10.
- Beklenmedik jeolokasyonlardan gelen girişler.
Aşama 2: Uzak Araç İstismarı – Kaçırma ve Sessiz Kurulum
Erişim kazandıktan sonra, saldırganlar gizli kalıcılık için uzaktan erişim aracı dağıtımına odaklanırlar. Minimum ayak izine sahip imzalı yükleyicileri kullanarak algılamayı önlemek veya sessiz bir kurulum gerçekleştirmek için mevcut bir uzaktan erişim aracını ele geçirebilirler.
Yöntem 1: Mevcut uzaktan erişim araçlarını ele geçirme
- WMI, Kayıt Defteri veya PowerShell aracılığıyla yüklü uzaktan erişim araçlarını numaralandırın.
- Saldırgan kimlik bilgileri ekleyin veya erişim yapılandırmalarını değiştirin.
- Yeni dosyalar veya işlemler oluşturmaktan kaçınır, algılama riskini azaltır.
Yöntem 2: Uzaktan erişim araçlarının sessiz kurulumu
Gibi sessiz yükleme bayraklarını kullanarak hafif, imzalı yükleyicileri kullanıcı etkileşimi olmadan dağıtın /S– /VERYSILENT– /quiet– /NORESTART.
| Uzak Araçlar | Komutlar | Amaç / etki |
|---|---|---|
| Anydesk | anydesk.exe --install "C:\ProgramData\AnyDesk" --silent --start-with-win |
Kalıcı Uzaktan Erişim Hizmeti |
| Ultraviye oyuncusu | UltraViewer_Setup.exe /VERYSILENT /NORESTART |
Yeniden başlatmadan sessizce yükleyin |
| Apphanywhere | msiexec /i AppAnywhere.msi /quiet /norestart |
Enterprise tarzı sessiz dağıtım |
| Rustesk | rustdesk.exe --service install --password "Str0ngPass123" |
Gözetimsiz uzaktan erişimi sağlar |
| Klonsk | CloneDesk_Setup.exe /S /D=C:\ProgramData\CloneDesk |
Minimal ayak izi kurulumu |
| Sıçrama | Splashtop_Streamer.exe /s /i silent=1 precheck=0 confirm=0 |
Sessiz, kurumsal dağıtım |
| Sıkı | tightvnc-setup.exe /S /NORESTART |
CLI-Terli Gizli Kurulum |
Aşama 3: Kalıcılık ve ayrıcalık konsolidasyonu
Saldırganlar, kalıcılığı korumak için kayıt defteri çalıştırma anahtarlarını, gizli planlanan görevleri ve yapılandırma dosyası değişikliklerini kullanır. Ayrıcalık artışı, PowerRun veya TrustedenSstaller gibi araçlar kullanılarak elde edilir, uzaktan erişim araçlarının sistem ayrıcalıklarıyla çalışmasına ve kullanıcı düzeyinde kısıtlamaları atlamasına izin verir.
Mekanizmalar:
- Kayıt Defteri Çalıştır Anahtarları:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run - Planlanan Görevler: Uzaktan erişim araçlarını otomatik olarak yeniden yüklemek için gizli görevler.
- Yapılandırma Dosyaları: Gözetimsiz erişim için config.toml (Rustdesk) değiştirin.
- Ayrıcalık yükseltme: Powerrun veya TrustEDInstaller kullanarak sistem olarak uzaktan erişim aracını başlatın.
Aşama 4: Antivirüs nötralizasyonu ve anti-firma
Uzaktan erişim araçlarını kullanarak, saldırganlar antivirüs hizmetlerini etkileşimli olarak durdurabilir, grup politikalarını manipüle edebilir ve hariç tutma listelerine uzaktan erişim aracı dizinleri ekleyebilir. Kritik kütükler temizlenir ve adli kanıtları kaldırmak için dosya parçalama araçları kullanılır ve bu da Entioncit sonrası soruşturmayı zorlaştırır.
Teknikler:
- Antivirüs hizmetlerini durdur:
sc stopveyanet stop - Politika Manipülasyonu: Gözetilmelere uzaktan erişim aracı dizinleri ekleyin.
- Günlük temizleme: Rakipler genellikle bu komutları anti-forsiklerin bir parçası olarak kullanırlar:
wevtutil cl Securitywevtutil cl Systemwevtutil cl Application
- Dosya Parçalama: Adli eserleri kaldırın.
Aşama 5: Yükün dağıtım ve yürütülmesi
Saldırganlar antivirüs hizmetlerini durdurur, güvenlik politikalarını değiştirir, kurtarma mekanizmalarını devre dışı bırakır, olay günlüklerini temizler ve hassas dosyaları engeller ve algılamadan kaçınmak ve öngörücü araştırmaları engeller.
Ayrıca yedek çözümlere karşı kurcalayabilir, gölge kopyalarını devre dışı bırakabilir ve kötü niyetli işlemleri meşru süreçlerle harmanlamak için Rundll32 veya PowerShell gibi yer alan ikili dosyaları (lolbins) kullanabilirler.
Fidye yazılımı, genellikle güvenilir güncellemeler veya idari işlemler olarak gizlenmiş olan uzaktan erişim araç kanalları aracılığıyla teslim edilir ve kullanıcı şüphesini ve güvenlik izlemesini atlamak için mevcut uzak oturumlarda yürütülür.
Gerçek Dünya Kampanya Örnekleri
Aşağıda, fidye yazılımı kampanyalarında kalıcılık, dağıtım ve yanal hareket için rakipler tarafından kaldırılan yaygın olarak istismar edilen uzaktan erişim araçları:
| Uzaktan Erişim Aracı | İlişkili Fidye Yazılımı Kampanyaları |
|---|---|
| Anydesk | TargetCompany, D3Adcrypt, Makop, Mallox, Phobos, Lockbit 2.0, Lockbit 3.0, Lockbit 2025 Renegade, Beast, Dharma, Proton/Shinra, Medusalocker |
| Ultraviye oyuncusu | Canavar, Cerber, Dharma (.cezar ailesi), GlobeImposter 2.0, Lockbit 3.0, Makop, Phobos, Spiderprey, TargetCompany |
| Apphanywhere | Makop, Ryuk, D3Adcrypt, Dharma |
| Rustesk | Mimic, Lockxxx, Dyamond, D3Adcrypt, Makop |
| Sıçrama | Makop, Bluesky, Ransomhub, Proxima |
| Sıkı | Cerber 4.0/5.0 |
Rakipler tarafından kullanılan taktikleri, teknikleri ve prosedürleri (TTP’ler) anlamak, uzaktan erişim araç güdümlü fidye yazılımı kampanyalarına karşı savunmak için çok önemlidir. Güvenlik ekipleri, bu etkinlikleri MITER ATT & CK çerçevesine eşleyerek, saldırganların nasıl erişim kazandığını, araçları kullandığını, kalıcılığı koruduğunu, ayrıcalıkları artırdığını ve sonunda etkili yükler sağlayabilir.
| Aşamalar | Teknik | MITER THE & CK Sub-Technique ID | Gözlem |
|---|---|---|---|
| İlk Erişim | Kaba kuvvet | T1110.001 | Başlangıç erişimi elde etmek için RDP/SMB uç noktalarını hedefleme |
| Araç dağıtım | Giriş Aracı Transferi | T1105 | Yürütme için aktarılan uzaktan erişim yardımcı programları |
| Uygulamak | Uzaktan Hizmetler | T1021.001 | Yükleri yürütmek için kullanılan uzak oturumlar |
| Kalıcılık | Kayıt Defteri Çalıştır Anahtarları | T1547.001 | Araç kalıcılığı için oluşturulan/değiştirilmiş kayıt defteri anahtarları |
| Ayrıcalık artışı | Yükseklik kontrol mekanizmasını kötüye kullanın | T1548.002 | Sistem haklarına sahip araçları çalıştırmak için gözlenen ayrıcalıkların yükselmesi |
| Savunma | Savunmaları değerlendirmek | T1562.001 | Güvenlik hizmetleri devre dışı bırakıldı, günlükler temizlendi |
| Yanal hareket | Uzaktan Hizmetler | T1021.001 | Uç noktalarda hareket etmek için istismar edilen uzaktan hizmetler |
| Darbe | Etki için şifrelenmiş veriler | T1486 | Fidye yazılımı dağıtmak ve verileri şifrelemek için kaldıraçlı araçlar |
Ortaya çıkan trendler ve gelecekteki tehditler
Fidye yazılımı operatörleri geliştikçe, geleneksel şirket içi sömürünün ötesine genişleyen yeni taktikler ortaya çıkıyor. Bu eğilimler, saldırganların operasyonlarının ölçeğini ve gizliliğini en üst düzeye çıkarmak için otomasyon, bulut istismarı ve RAAS ekosistemlerini nasıl birleştirdiğini vurgulamaktadır:
- AI ile çalışan uzaktan erişim aracı dağıtım: Yükler için otomatik karar verme.
- Bulut Uzaktan Erişim Aracı Kötüye Kullanımı: Bulut tabanlı uzaktan erişim portallarından yararlanma.
- RAAS entegrasyonu: Kurumsal kampanyalar için Hizmet Olarak Fidye Yazılımları’na yerleştirilmiş uzaktan erişim araçları.
- Çok aşamalı saldırılar: İlk uzaktan erişim aracı uzlaşması ve ardından ikincil yükler (veri eksfiltrasyonu, kriptajlama, lateral fidye yazılımı).
Kapsamlı Savunma Stratejisi
Fidye yazılımı aktörleri güvenilir araçları silahlandırmaya çalışabilir, ancak kapsamlı güvenlik çözümleri, onları yollarında durdurmak için birden fazla savunma katmanı ile oluşturulur. Modern güvenlik platformları, gerçek zamanlı izleme, kendini koruma ve gelişmiş davranışsal tespiti birleştirerek, saldırganların güvenliği kolayca devre dışı bırakamamasını veya fark edilmeden geçememelerini sağlar.
Çekirdek Koruma Katmanları:
- Virüs koruması: Trojanize edilmiş montajcıları veya gizli yükleri yürütmeden önce aktif olarak tespit eder ve nötralize eder.
- Antivirüs Kendini Koruma: Saldırganların güvenlik hizmetlerini zorla sonlandırmasını veya kaldırmasını önler.
- Davranış Tabanlı Tespit: Kütle dosya değişiklikleri veya şüpheli işlem lansmanları gibi fidye yazılımlarıyla bağlantılı anormal aktiviteler için monitörler.
- Fidye Yazılımı Koruması: Veriler kilitlenmeden önce saldırıyı keserek gerçek zamanlı olarak yetkisiz şifreleme girişimlerini engeller.
- Uygulama Kontrolü: Yalnızca güvenilir uygulamaların çalışmasına izin verilmesini sağlayarak yetkisiz uzaktan araçların kullanımını kısıtlar.
Meşru BT araçları, yanlış yönetildiğinde kolayca gizli saldırı vektörleri haline gelebilir ve uzaktan erişim aracı istismarı artık yeni nesil fidye yazılımlarının kritik bir kolaylaştırıcısıdır.
Bu riske karşı koymak için işletmelerin yönetişim, izleme ve hızlı yanıtı birleştiren katmanlı bir yaklaşıma ihtiyacı vardır. Modern güvenlik çözümleri, güçlü antivirüs koruması, davranışsal algılama ve ransom yazılım karşıtı koruma sağlayarak bu savunma stratejisinde merkezi bir rol oynar.
Sıkı yönetişim ve olay tepkisi ile eşleştirildiğinde, kuruluşlar saldırganların önünde kalabilir ve eleştirel varlıklarını giderek daha karmaşık hale gelen fidye yazılımı kampanyalarından koruyabilir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.