Fidye yazılımı ve nasıl tespit edileceğine ilişkin kılavuz


Manzarası fidye yazılımı öncelikle bireysel bilgisayar kullanıcılarını etkileyen nispeten basit bir kötü amaçlı yazılım biçiminden, çeşitli endüstrilere ve devlet kurumlarına önemli zararlar veren, kurumsal düzeyde tehditkar bir tehdide dönüşerek hızlı bir evrim geçirdi.

Fidye yazılımı saldırıları, kritik verileri ve sistem dosyalarını şifrelemek veya silmek için stratejik olarak tasarlanarak kuruluşları saldırganların mali taleplerini karşılamaya zorlar. Bu saldırılar, özellikle saldırganların taleplerine boyun eğmeden kurtarma için gerekli olan veri havuzlarının, yedekleme sistemlerinin ve hayati kayıtların ele geçirilmesine odaklanıyor ve böylece kuruluşların bu durumu kabul etme olasılığını artırıyor.

Failler, fidye yazılımını hedeflerinden şantaj yapmak için bir araç olarak kullanıyor; genellikle şifre çözme anahtarı karşılığında veya hassas bilgilerin karanlık ağda veya halka açık internette ifşa edilmesini önleme koşulu olarak kripto para birimi cinsinden ödeme talep ediyor.

İnsanlar tarafından çalıştırılan fidye yazılımı, organize insan saldırgan gruplarının, yetenekli operatörlerin rehberliğinde sistematik olarak bir kuruluşun tüm BT altyapısını hedef aldığı farklı bir varyant olarak ortaya çıktı. Bu, birden fazla bilgi işlem sistemi genelinde kimlik avı saldırıları yoluyla ağırlıklı olarak yazılım odaklı yayılmaya dayanan fidye yazılımının daha önceki yinelemeleriyle çelişiyor.

Bir fidye yazılımı saldırısı şunları yapabilir:

  • Verileri ve sistemleri şifreleyerek kesinti ve kurtarma maliyetlerine neden olur
  • Gizli verileri çalın, kuruluşun dışına sızdırın ve serbest bırakmakla tehdit edin
  • Kuruluşun, çalışanın ve müşterinin oturum açma kimlik bilgilerini çalmak
  • Müşterileri ve iş ortaklarını tehlikeye atmak için ele geçirilen kurbanların sistemlerini ve kazanılan güveni kullanın
  • Mağduru alenen utandırarak itibarın zedelenmesine neden olur

Bugün, tüm fidye yazılımı saldırılarının %80’inden fazlası “çifte gasp”, veri ve kimlik bilgilerinin sızmasını içeriyor

Fidye yazılımı, bir kuruluşa sızmak için saldırganların ortak sistem ve güvenlik zayıflıkları ve güvenlik açıkları hakkındaki bilgisinden yararlanır. Daha sonra kurumsal ağ üzerinden geçerek çevreye uyum sağlar ve karşılaştığı zayıflıklardan yararlanır.

Fidye yazılımını önceden belirlenmiş bir tarihte çalıştırmadan önce, kötü amaçlı yazılımın birkaç hafta veya ay boyunca verileri sızdırdığı bir hazırlık aşaması olabilir.

Fidye yazılımı, şifreleme anahtarını virüslü cihazda tutarak dosyaları yavaş yavaş şifreleyebilir. Bu süre boyunca, şifreleme anahtarı yerinde kaldığı için dosyalara hâlâ erişilebiliyor ve bu da kötü amaçlı yazılımın daha az tespit edilmesini sağlıyor. Ancak şifrelenen verilerin genellikle yedeklediğiniz veriler olduğunu unutmamak önemlidir.

Artık şifrelenmiş veriler içeren en son yedeklemeler de dahil olmak üzere tüm veriler şifrelendikten sonra anahtar geri alınır. Bu, verileri erişilemez hale getirerek dosyalarınızı görüntülemenizi veya kurtarmanızı imkansız hale getirir.

Ransomware kurbanları nasıl istismar ediliyor?

Bilgisayarların başlangıcından bu yana, çoğu cihaza ve çoğu kuruluşa yönelik kötü niyetli ihlallerin büyük çoğunluğundan yalnızca iki temel neden yöntemi sorumlu olmuştur:

  • Sosyal mühendislik
  • Yamasız Yazılım

Birkaç yıldır çok popüler hale gelen çeşitli başka kötü amaçlı yazılım ve bilgisayar korsanlığı yöntemleri de mevcut (önyükleme virüsleri, USB anahtarı enfeksiyonları vb. gibi), ancak sosyal mühendislik ve yama yapılmamış yazılımlar, en popüler istismar yöntemleri arasında ya bir ya da iki numara oldu. çoğu yıl otuz yılı aşkın süredir.

Çok sayıda saldırı vektörü çeşitli satıcılar tarafından farklı şekilde kategorize edilmiş olsa da, fidye yazılımı grupları tarafından yaygın olarak kullanılan üçüncü bir ortak saldırı vektörünün daha olduğu açıktır: parola saldırıları. Fidye yazılımı grubu ya önceden çalınmış geçerli bir oturum açma adı ve parolasını kullanarak kurbanın cihazlarına giriş yapıyor ya da oturum açma kimlik bilgilerini başarılı bir şekilde tahmin ediyor.

Bu ilk oturum açma erişimi daha sonra ek istismarlara dönüştürülür ve bu da sonuçta ağın daha fazla kısmının tehlikeye atılmasına olanak tanır.

Bununla birlikte…Şifre Saldırıları gerçekten geçmişte kaldı.

Güçlü parola politikaları, çok faktörlü kimlik doğrulama ve otomatik izinsiz giriş tespit sistemleri de dahil olmak üzere giderek daha karmaşık hale gelen güvenlik önlemleri nedeniyle parola saldırılarına teşebbüs etmek genellikle boşunadır; bu da saldırganların kullanıcı hesaplarını tehlikeye atmasını son derece zorlaştırır.

Özellikle fidye yazılımı saldırılarında, fidye yazılımı saldırılarının büyük çoğunluğuna üç saldırı vektörünün izin verdiği açıktır:

  • Sosyal mühendislik
  • Yamasız yazılım
  • Şifre saldırıları (son çare, tembel, çok zorlu, %0,001 başarı şansı)

Fidye yazılımı etkinliğinin işaretlerini tespit etme

Microsoft güvenlik araştırmacıları, gelişmiş davetsiz misafirler tarafından başlatılan birçok fidye yazılımı saldırısında, yaygın ancak incelikli çeşitli hileler gözlemledi.

Bu işaretler çoğunlukla şifrelemeye hazırlanmak, tespit edilmeyi önlemek ve adli delilleri temizlemek için sistem araçlarının kullanımını içerir.

Aşağıdaki tablo etkinliği, araçları ve olası amacı temsil eder.

Fidye yazılımı etkinliği Ortak araçlar Niyet
İşlemleri durdur Taskkill.exe, net durdurma Şifreleme için hedeflenen dosyaların çeşitli uygulamalar tarafından kilitlenmediğinden emin olun.
Hizmetleri kapat sc.exe – Şifreleme için hedeflenen dosyaların çeşitli uygulamalar tarafından kilitlenmediğinden emin olun.
Hizmetleri kapat sc.exe – Güvenlik yazılımının şifrelemeyi ve diğer fidye yazılımı faaliyetlerini kesintiye uğratmasını önleyin.
Hizmetleri kapat sc.exe – Yedekleme yazılımının kurtarılabilir kopyalar oluşturmasını durdurun.
Günlükleri ve dosyaları silin cipher.exe, wevtutil, fsutil.exe Adli delilleri kaldırın.
Gölge kopyaları silin vsadmin.exe, wmic.exe Şifrelenmiş dosyaları kurtarmak için kullanılabilecek sürücü gölge kopyalarını kaldırın.
Yedeklemeleri silin ve durdurun wbadmin.exe Mevcut yedeklemeleri silin ve zamanlanmış yedekleme görevlerini durdurarak şifreleme sonrasında kurtarmayı önleyin.
Önyükleme ayarlarını değiştirin bcdedit.exe Şifreleme işleminden kaynaklanabilecek önyükleme hatalarından sonra uyarıları ve otomatik onarımları kapatın.
Kurtarma araçlarını kapatın schtasks.exe, regedit.exe, Sistem Geri Yüklemeyi ve diğer sistem kurtarma seçeneklerini kapatın.

Fidye yazılımı etkinliğinin bireysel işaretlerini tespit etme

Yukarıdaki tabloda açıklanan faaliyetler de dahil olmak üzere, fidye yazılımı davranışı oluşturan birçok etkinlik zararsız olabilir.

Fidye yazılımını bulmak için aşağıdaki sorguları kullanırken, aynı cihazların olası fidye yazılımı etkinliğine ilişkin çeşitli belirtiler gösterip göstermediğini kontrol etmek için birden fazla sorgu çalıştırın.

Taskkill.exe kullanarak birden fazla işlemi durdurma

Bu sorgu, Taskkill.exe yardımcı programını kullanarak en az 10 ayrı işlemi durdurma girişimlerini kontrol eder.

// Taskkill.exe DeviceProcessEvents kullanarak işlemleri durdurma girişimlerini bulun | nerede Zaman Damgası > önce(1d) | burada DosyaAdı =~ “taskkill.exe” |görevKillCount’u özetleyin = dcount(ProcessCommandLine), TaskKillList = make_set(ProcessCommandLine) DeviceId, bin(Timestamp, 2m) | burada görevKillCount > 10

Bu basit KQL algılama sorgusundan, herhangi bir görev öldürme komutunu aradığını görebilirsiniz; yukarıdaki tabloda da belirtildiği gibi, bir saldırgan, şifreleme için hedeflenen dosyaların çeşitli uygulamalar tarafından kilitlenmemesini sağlamak için bunu kullanabilir.

Ancak bu aynı zamanda bir Yöneticinin bunu sıkışmış veya donmuş ortak bir programı öldürmek için kullanabileceği anlamına da gelebilir, bu nedenle bu tür belirli sorguları bilinen yöneticilerin olduğu bir izleme listesine filtrelemeye çalışmalıdır, her iki durumda da bu kesinlikle olmalıdır. araştırıldı.

Microsoft ve inanılmaz güvenlik uzmanları sayesinde, birden fazla fidye yazılımı etkinliği belirtisi olup olmadığını kontrol etmek için son derece ayrıntılı bir KQL algılama sorgusu sağladılar.

Kod ve daha fazla açıklama aşağıda 🙂

https://learn.microsoft.com/en-us/microsoft-365/security/defender/advanced-hunting-find-ransomware?view=o365-worldwide#check-for-multiple-signs-of-ransomware-activityDurumda “Sentinel ile Fidye Yazılımını Tespit Etme” konulu videomu görmediniz. Bunda, bir grup dosyayı şifreleyen, özel anahtar olmadan verilerin sonsuza kadar kaybolduğu “şifrelemeyi kaldırmak” için özel bir anahtara dayanan bir kötü amaçlı yazılım parçası çalıştırıyorum, ancak özel anahtarla dosyaların şifresini kolayca çözebilirsiniz. .

Olaylara müdahalenin ekstra bir adımı olarak, dosyalarınızdan herhangi birinin resmi olarak ele geçirilmediğinden emin olmak istiyorsanız, bir dosya imza analizi yapmayı düşünebilirsiniz.

Dosya İmza Analizi:

Dosya uzantısının dosya türüyle eşleştiğinden emin olmak için bir dosya imza analizi yapılması. Dosya sisteminde bulacağınız birçok dosya türü standartlaştırılmıştır ve kendilerini dosya sistemine tanıtmak için benzersiz dosya imzalarına sahiptir. Bu, .doc veya .docx dosya uzantısına sahip bir Microsoft Word belgesi gibi bir dosya uzantısı değildir.

Bir kullanıcı veya program, suçlayıcı kanıtları gizlemek için dosya uzantısını değiştirebilir. Dosya imza analizi yapmanın amacı, dosya imzası ile dosya uzantısının eşleşip eşleşmediğini belirlemektir.

Bunu yapmak için söz konusu dosyanın imza başlığına başvurmanız gerekir.

Örneğin, bir GIF dosyası onaltılık FF D8 FF E0 değil, onaltılık 47 49 46 38 dosya imzasına sahip olmalıdır.

Bazı durumlarda uyumsuzluk, kullanıcı etkileşiminden değil, dosya sisteminin normal kullanımından kaynaklanmaktadır.

Uyumsuzluğun belirli bir kullanıcıyla ilişkilendirilebildiğinden emin olmak için verileri incelemelisiniz.

Gary Kessler, dosya uzantısına veya imzaya göre bir veritabanında arama yapmanızı sağlayan bir web sitesi oluşturdu. Bu web sitesine https://filesignatures.net/ adresinden ulaşabilirsiniz.

Craig, bu yılın Güvenlikte Ciddi İsimsiz Kahramanlar Ödülleri’nde Siber Yazar kategorisinde finalist oldu.



Source link