
Siber güvenlik ekipleri, son aylarda, fidye yazılımlarının dağıtılmasını kolaylaştırmak için uç nokta savunmalarının devre dışı bırakılmasını gözlemleyen son aylarda yeni bir “EDR Killer” yükünden artan bir tehditle karşı karşıya kaldı.
İlk olarak 2014’ün ortalarında tespit edilen bu araç, gerçek işlevselliğini gizlemek ve geleneksel statik imza kontrollerini aşmak için HeartCrypt Packer-Hizmet Olarak Kaldırılır.
Saldırganlar genellikle avkiller’i meşru bir yardımcı program olarak maskelenen bir damlalıkla teslim eder – genellikle kötü amaçlı kodları Beyond Compate gibi imzalı yürütülebilir ürünlere enjekte ederek.
Yürütme üzerine Avkiller, ağır korunan yükünü bellekte çözer, belirli güvenlik sürücüleri için avlar ve ilişkili süreçleri sonlandırmaya devam ederek sonraki fidye yazılımı şifrelemesi için net bir yol oluşturur.
Sophos analistleri, Sophos ürünlerini hedefleyen ilk avkiller örneklerini belirledi ve daha sonra varyantlar, odaklarını Bitdefender, Kaspersky, Sentinelone ve Microsoft Defender gibi geniş bir satıcı yelpazesini içerecek şekilde genişletti.
Araç, rastgele adlandırılmış bir sürücü dosyası arar (örneğin, MRAML.SYS), mevcutsa yükler ve daha sonra bilinen antivirüs ve EDR çözümleriyle ilişkili çalışma işlemlerini veya hizmetleri sonlandırır.
.webp)
Sürücü eksikse, Avkiller benzer şekilde adlandırılmış bir hizmet oluşturur ve bir hata mesajı ile iptal eder, “cihaz alamadı”, savunucuların sınırlı adli eserlerle karşılaşmasını sağlar.
Avkiller’in etkisi önemli olmuştur. Yüksek profilli bir olayda, RansomHub grubu yükü büyük bir kurumsal ağa karşı dağıttı ve dosya şifrelemesini açığa çıkarmadan önce dinamik kabuk kodu algılama ve cihaz kontrol mekanizmalarını başarıyla devre dışı bıraktı.
Birkaç dakika içinde, önemli sunucular tehlikeye atıldı ve aktif EDR koruması olmadığı için iyileşme çabaları engellendi.
Telemetri verilerinin analizi, Avkiller’in canlı yanıt araçlarının korunan süreçlere enjekte edilmesini önleyerek birden fazla syscall bloke rutinini uyguladığını ortaya koydu.
Bu sofistike düzeyde, güvenlik operasyonlarını etkisiz hale getirmek için özel hazır araçlara yatırım yapan rakiplerin artan eğiliminin altını çizmektedir.
Enfeksiyon mekanizması ve kaçaklama taktikleri
Enfeksiyon, statik AV imzalarından kaçmak için tasarlanmış HeartCrypt tarafından paketlenmiş bir damlalık yürütülebilir dosyasıyla başlar.
.webp)
Hafızaya girdikten sonra, Avkiller, bir XOR rutini kullanarak gömülü yükün şifresini çözen özel bir yükleyici kullanır.
Yükleyici, yüklü sürücüleri numaralandırır ve kod çözülmüş yük içinde sabit kodlanmış beş harfli rastgele oluşturulan bir ad arar.
Hedef sürücü yüklendiğinde, Avkiller kritik güvenlik süreçlerini sonlandırmak için doğrudan sistem çağrıları yapar:-
HANDLE hDevice = CreateFileW(L"\\\\.\\mraml", GENERIC_READ, 0, NULL, OPEN_EXISTING, 0, NULL);
if (hDevice == INVALID_HANDLE_VALUE) {
fprintf(stderr, "Failed to get device\n");
exit(EXIT_FAILURE);
}
NtTerminateProcess(hProcess, STATUS_SUCCESS);
Kullanıcı modu API kancalarını atlayarak ve NTTerminateProcess’i doğrudan çağırarak Avkiller Ortak EDR müdahalesi noktalarını kaldırır.
Sürücünün kendisi, Changsha Hengxiang Information Technology Co., Ltd.’den Fuzhou Dingxin Trade Co., Ltd. – her ikisi de yıllar önce süresi dolmuş ancak çekirdek doğrulama listelerinde geri dönmemiş olan bir sertifika ile dijital olarak imzalanmıştır.
Bu teknik, sürücünün çekirdek bütünlüğü kontrollerinden derhal şüphe yaratmadan yüklenmesini sağlar.
Güvenlik hizmetlerinin başarılı bir şekilde feshedilmesi üzerine, damlalık fidye yazılımı yükünü tetikler – genellikle Blacksuit, Medusalocker ve Inc gibi ailelere bağlı – öldürme zincirini tamamlar.
Avkiller’in modüler tasarımı, hedef listeler ve paketleme katmanlarında hızlı güncellemelere izin verir, bu da rakip fidye yazılımı grupları arasında aktif geliştirme ve paylaşım gösterir.
Savunucular uyum sağladıkça, Avkiller Loader’ın sistem-arama rutinlerini ve sürücü yükleme davranışını anlamak ve ele geçirmek bu sofistike saldırıları engellemek için kritik olmaya devam etmektedir.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın