Siber güvenlik araştırmacıları, iyi bilinen güvenlik çözümlerini devre dışı bırakmak ve böylece tespit edilmekten kaçınmak için savunmasız sürücülerden yararlanan karmaşık bir kripto hırsızlığı kampanyasını ortaya çıkardı.
Saldırganların imzalı sürücülerdeki bilinen kusurlardan yararlanarak ayrıcalıklı eylemler gerçekleştirmesine olanak tanıyan bu tekniğe, Kendi Savunmasız Sürücünüzü Getirin (BYOVD) saldırısı adı verilir.
Kampanya GHOSTENGINE Yükünü Kullanıyor
Elastic Security Labs’tan araştırmacılar, REF4578 olarak adlandırılan yeni cryptojacking kampanyasını tespit etti. Kampanya, güvenlik araçlarını devre dışı bırakmak, ilk bulaşmayı tamamlamak ve bir kripto madenciliğini yürütmek için GHOSTENGINE çekirdek yükünü kullanıyor. Antiy Labs’tan araştırmacılar da kampanyayı gözlemleyerek buna GİZLİ KÜREK adını verdiler.
Kampanyanın öncelikli olarak Çin’deki sunucuları hedeflediği görüldü; ayrıca Hong Kong, Hollanda, Japonya, ABD, Almanya, Güney Afrika ve İsveç’te de önemli etkiler rapor edildi. Kampanyanın arkasındaki tehdit aktörlerinin tam kapsamı ve kimlikleri halen bilinmiyor.
Saldırı, meşru bir Windows dosyası gibi görünen “Tiworker.exe” adlı yürütülebilir dosyanın yürütülmesiyle başlıyor. Bu yürütülebilir dosya, saldırganın komuta ve kontrol (C2) sunucusundan “get.png” adlı karmaşık bir komut dosyasını alan bir PowerShell komut dosyasını çalıştırır.
“get.png” betiği daha sonra Microsoft Defender Antivirus’ü devre dışı bırakmak, Windows Sistem/Güvenlik olay günlüklerini temizlemek ve sürekli kalıcılık için zamanlanmış görevler oluşturmak gibi çeşitli eylemleri dener. Komut dosyası ayrıca aşağıdakiler de dahil olmak üzere ek kötü amaçlı modülleri indirmeden önce minimum 10 MB depolama alanını kontrol eder:
- aswArPot.sys: EDR işlemlerini sonlandırmak için kullanılan, güvenlik açığı bulunan bir Avast sürücüsü.
- IObitUnlockers.sys: Güvenlik aracısı ikili dosyalarını silmek için kullanılan, güvenlik açığı bulunan bir IObit sürücüsü.
- smartsscreen.exe: Güvenlik işlemlerinin devre dışı bırakılmasından ve XMRig madencisinin yürütülmesinden sorumlu olan çekirdek veri (GHOSTENGINE).
- oci.dll: Kötü amaçlı yazılımın kalıcılığı ve güncellenmesi için kullanılan bir DLL.
- backup.png: Uzaktan komut yürütme için arka kapı görevi gören bir PowerShell betiği.
- kill.png: Güvenlik aracılarını silmek amacıyla yürütülebilir bir dosyayı enjekte etmek ve yüklemek için tasarlanmış bir PowerShell betiği.
PowerShell betiği, kalıcılığı sağlamak için birden çok zamanlanmış görev oluşturur:
- “OneDriveCloudSync” her 20 dakikada bir kötü amaçlı hizmet DLL’si çalıştırıyor.
- “DefaultBrowserUpdate” her saat başı bir toplu komut dosyası çalıştırır.
- “OneDriveCloudBackup” her 40 dakikada bir “smartsscreen.exe”yi çalıştırır.
Daha sonra, XMRig madencisi indirilir ve kripto para birimi madenciliği yapmak için çalıştırılır. XMRig, monero kripto para biriminin madenciliği için meşru, yüksek performanslı, açık kaynaklı bir uygulamadır ve tehdit aktörleri tarafından yaygın olarak kullanılır. Bir yapılandırma dosyası, oluşturulan tüm kripto para birimini saldırganın kontrol ettiği bir cüzdana yönlendirir.
Kampanya, operasyonun devamını sağlamak için çeşitli geri dönüş mekanizmaları içeriyor. Birincil C2 etki alanları kullanılamıyorsa yedekleme sunucularını ve FTP tabanlı bir geri dönüş sistemini kullanır. PowerShell betiği “kill.png”, güvenlik aracısı ikili dosyalarını silmek için “smartsscreen.exe” ile benzer yeteneklere sahip olarak yedeklilik sağlar.
Kötü amaçlı yazılım ayrıca ek kalıcılığı korumak ve C2 sunucusundan daha fazla güncelleme indirmek için bir Windows hizmeti tarafından yüklenen bir DLL dosyasını (“oci.dll”) kullanıyor.
Saldırganlar Ayrıcalıkları Artırmak ve Tespitten Kaçmak İçin BYOVD Tekniğini Kullanıyor
Kampanyada yararlanılan sürücüler, işletim sisteminde sunulan en yüksek ayrıcalık düzeyi olan ve kritik sistem kaynaklarına doğrudan erişime olanak tanıyan 0 halkasında çalıştırılıyor. Tehdit aktörleri, güvenlik süreçlerini sonlandırmak için Avast sürücüsü “aswArPot.sys”yi ve güvenlik aracısı ikili dosyalarını silmek için IObit sürücüsü “IObitUnlockers.sys”yi kullanıyor.
Saldırı, Uç Nokta Tespit ve Yanıt (EDR) sistemlerinden kaçarken, bu karmaşık kampanyaya karşı savunma yapmak için güvenlik ekiplerinin olağandışı PowerShell yürütmesini, şüpheli süreç etkinliklerini ve belirlenen kripto madenciliği havuzlarına işaret eden ağ trafiğini izlemesi gerekir.
Araştırmacılar GHOSTENGINE enfeksiyonlarını tanımlamaya yardımcı olmak için YARA kuralları sağladılar. Ayrıca kuruluşlar, “aswArPot.sys” ve “IObitUnlockers.sys” gibi güvenlik açığı bulunan sürücüler tarafından dosya oluşturulmasını engellemeyi düşünmelidir.
REF4578/HIDDEN SHOVEL kripto hırsızlığı kampanyasında gösterilen ileri düzeydeki karmaşıklık, bunu bir endişe kaynağı haline getiriyor ve acil çözüm eylemi gerektiriyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.