RansomHub adlı bir fidye yazılımı grubunun, uç nokta algılama ve yanıt (EDR) sistemlerini devre dışı bırakmak üzere tasarlanmış yeni bir araç kullandığı tespit edildi.
EDRKillShifter adlı bu araç, siber suçluların güvenlik önlemlerini aşmak ve fidye yazılımı saldırıları gerçekleştirmek için kullandıkları taktiklerde önemli bir ilerlemeyi temsil ediyor.
Bu aracı kullanarak yakın zamanda gerçekleştirilen bir saldırı engellenmiş olsa da, bu keşif fidye yazılımı gruplarının sürekli tehdit oluşturduğunu ve güvenlik teknolojilerine sürekli uyum sağladıklarını gösteriyor.
EDRKillShifter’ın Yükselişi
Sophos analistleri, Mayıs 2023’te bir fidye yazılımı saldırısı girişimi sırasında EDRKillShifter aracını ortaya çıkardı. Saldırı başarısız olsa da, ölüm sonrası analiz, uç nokta koruma yazılımını sonlandırmayı amaçlayan bu yeni yardımcı programın varlığını ortaya koydu.
Aracın ortaya çıkışı, EDR sistemlerini devre dışı bırakmak için tasarlanan kötü amaçlı yazılımların giderek daha karmaşık hale geldiği 2022’den bu yana gözlemlenen daha geniş bir eğilimin parçası.
Bu eğilim, kuruluşların uç noktalarını siber tehditlerden korumak amacıyla EDR teknolojilerini giderek daha fazla benimsemesiyle örtüşüyor.
EDRKillShifter Nasıl Çalışır?
EDRKillShifter, kötüye kullanıma açık meşru bir sürücü için bir dağıtım mekanizması görevi gören bir “yükleyici” yürütülebilir dosyası olarak işlev görür.
“Savunmasız sürücünüzü getirin” (BYOVD) olarak bilinen bu yaklaşım, saldırganların EDR araçlarını devre dışı bırakmak için gerekli ayrıcalıkları elde etmek amacıyla meşru yazılımlardaki mevcut güvenlik açıklarından yararlanmalarına olanak tanır.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Uygulama süreci üç aşamadan oluşmaktadır:
- Şifre ile Çalıştırma: Saldırgan EDRKillShifter’ı bir komut satırı ve belirli bir parola dizesiyle çalıştırır. Bu parola, BIN adlı gömülü bir kaynağın şifresini çözmek ve onu bellekte yürütmek için çok önemlidir.
- Paketten Çıkarma ve Uygulama: BIN kodu, Go programlama dilinde son yükü açar ve yürütür. Bu yük, EDR korumasını kaldırmak için gereken ayrıcalıkları elde etmek amacıyla çeşitli savunmasız sürücüleri kullanır.
- Dinamik Yükleme:Son yük dinamik olarak belleğe yüklenir ve yürütülür, böylece EDR sistemi etkin bir şekilde devre dışı bırakılır.
EDRKillShifter’ın Teknik Analizi
İlk Katmanın Soyulması
EDRKillShifter’ın ilk analizi, tüm örneklerin benzer sürüm verilerini paylaştığını ve orijinal dosya adının Loader.exe olduğunu ortaya koyuyor.
İkili dosyanın dil özelliği Rusça’dır, bu da kötü amaçlı yazılım yazarının bunu Rusça yerelleştirme ayarlarına sahip bir bilgisayarda derlediğini düşündürmektedir. Çalıştırma için benzersiz 64 karakterlik bir parola gerekir; bu olmadan araç çalışmaz.
Son EDR Katilini Yükleme
Aracın ikinci aşaması, kendini değiştiren kod teknikleri kullanılarak gizlenir. Bu, gerçek talimatların yalnızca yürütme sırasında ortaya çıkması nedeniyle analizi zorlaştırır.
Son kod çözülmüş katmanın tek amacı, son yükü belleğe yüklemek ve yürütmektir.
Nihai Yükün Analizi
Analiz edilen nihai yüklerin tamamı Go’da yazılmış ve büyük ihtimalle obfuscate gibi araçlar kullanılarak yoğun bir şekilde karartılmıştı.
Bu karmaşıklık tersine mühendislik çabalarını engelliyor ve güvenlik araştırmacılarının kötü amaçlı yazılımı analiz etmesini zorlaştırıyor.
Ancak GoReSym gibi araçlar, bu gizlenmiş örneklerden değerli bilgiler çıkarmak için kullanıldı.
Benzerlikler ve Varyantlar
Analiz edilen tüm EDR öldürücü varyantları, EDR sistemlerini devre dışı bırakmak için gerekli ayrıcalıkları elde etmek amacıyla kullanılan, güvenlik açığı bulunan bir sürücüyü barındırıyor.
Varyantlar esas olarak istismar ettikleri belirli güvenlik açığı sürücüsünde farklılık gösterir. Bu sürücüler genellikle meşrudur ancak kamuya açık kavram kanıtı kodu kullanılarak istismar edilen bilinen güvenlik açıklarına sahiptir.
EDRKillShifter’ın Tehdit Alanında Haritalanması
EDRKillShifter aracı, karanlık ağda satılan daha geniş bir kötü amaçlı yazılım araçları ekosisteminin parçası gibi görünüyor.
Yükleyicinin birincil işlevi, son BYOVD yükünü dağıtmaktır; bu da onun, teslim ettiği yüklerden ayrı olarak edinilmiş olabileceğini düşündürmektedir.
Bu modüler yaklaşım, farklı tehdit aktörlerinin aynı yükleyiciyi çeşitli yüklerle kullanmasına olanak tanıyarak, atıf çabalarını karmaşık hale getirir.
EDRKillShifter’ın keşfi, siber suçlular ile siber güvenlik uzmanları arasındaki süregelen silahlanma yarışını gözler önüne seriyor.
Kuruluşlar EDR sistemleri gibi gelişmiş güvenlik önlemlerini benimsemeye devam ettikçe, tehdit aktörleri bu savunmaları aşmak için giderek daha karmaşık araçlar geliştiriyor.
Siber güvenlik topluluğu, bu gelişen tehditlerin önünde kalmak için teknolojik çözümler ve tehdit istihbaratının bir kombinasyonunu kullanarak uyanık ve uyumlu olmalıdır.
RansomHub’ın başarısız saldırısı, güçlü güvenlik uygulamalarının önemini ve ortaya çıkan tehditlerin sürekli izlenmesi ve analiz edilmesinin gerekliliğini hatırlatıyor.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Acces