Rorschach adlı yeni tespit edilen bir fidye yazılımı – onu inceleyen herkesin “farklı bir şey gördüğü” için böyle adlandırılmıştır – Check Point’teki araştırmacılar tarafından kuruluşlar için acil ve son derece tehlikeli bir tehdit olarak işaretleniyor.
Bunu ilk olarak ABD merkezli bir müşterideki bir olaya yanıt verirken fark eden araştırma ekibi, Rorschach’ın Babuk, DarkSide, LockBit ve Yanluowang da dahil olmak üzere diğer birçok fidye yazılımı türünün özelliklerini paylaşarak “benzersiz göründüğünü” söyledi, ancak hiçbir çakışma yok bu, onu diğer herhangi bir fidye yazılımı türüne herhangi bir güvenle bağlayabilir.
Reklamdan çekinmeyen fidye yazılımı operatörleri için oldukça alışılmadık bir durum olan markalı da değildir.
Tehdit istihbarat grubu yöneticisi Sergey Shykevich, “Psikolojik bir Rorschach testinin herkese farklı görünmesi gibi, bu yeni fidye yazılımı türü de farklı fidye yazılımı ailelerinden alınan yüksek düzeyde teknik olarak farklı özelliklere sahiptir – bu da onu özel ve diğer fidye yazılımı ailelerinden farklı kılar” dedi. Kontrol Noktasında.
“Bu şimdiye kadar gördüğümüz en hızlı ve en gelişmiş fidye yazılımlarından biri. Siber saldırıların hızla değişen doğasına ve şirketlerin Rorschach’ın verilerini şifrelemesini engelleyebilecek, önleme odaklı bir çözüm kullanma ihtiyacına değiniyor.”
Diğer özelliklerinin yanı sıra, dolap kötü amaçlı yazılımının kendisi oldukça gelişmiştir ve kısmen otonomdur; genellikle kendi başına manuel olarak yapılan bir etki alanı grubu ilkesi (GPO) oluşturmak gibi görevleri yerine getirebilir. Son derece özelleştirilebilir ve doğrudan sistem çağrılarının bir gizleme tekniği olarak kullanılması gibi nadiren gözlemlenen bazı teknik olarak farklı özellikler içerir.
Rorschach ayrıca son derece hızlı hareket ediyor. Hız iblisi olarak da bilinen LockBit 3.0’a karşı kontrollü bire bir testte, 220.000 dosyayı tamamen şifrelemek sadece dört dakika 30 saniye sürdü. LockBit 3.0 yedi dakika sürdü.
DLL-tarafından yükleme, kötüye kullanılan meşru güvenlik ürünü
Check Point tarafından bildirilen olayda, Rorschach, Palo Alto Networks’ün Cortex XDR (genişletilmiş algılama ve yanıt) ürünündeki bir sorundan yararlanarak devreye alındı.
Bu tekniğin başarısı, Cortex XDR Dump Service Tool’un kurulum dizininden kaldırılmış olmasına bağlıdır; bu durumda güvenilmeyen dinamik bağlantı kitaplıklarını (DLL’ler) yüklemek için kullanılabilir. Bu, DLL yandan yükleme olarak bilinir.
Fidye yazılım önleme platformu Halcyon’un CEO’su ve kurucu ortağı Jon Miller şunları söyledi: “DLL yandan yükleme teslimatının Cortex XDR Dump Service Tool’u kötüye kullandığını öğrenmek ilginç çünkü bu yasal, dijital olarak imzalanmış bir güvenlik aracı. ürün. Bu teknik, kalıcılık ve kaçırma yetenekleri sağlayan kötü amaçlı DLL’leri yüklemek için savunmasız yazılımdan yararlanır.
“DLL yandan yükleme yeni değil ama biraz nadir. Benzer şekilde, rezil 2021 Kaseya fidye yazılımı saldırısında REvil tehdit aktörleri tarafından konuşlandırıldı…. Downstream kurbanlarının güvenliği, bilinen bir satıcıdan alınan ve geçerli bir dijital sertifikayla imzalanmış meşru bir yazılım güncellemesiyle ele geçirildi.
“Dünyadaki tüm güvenlik hijyeni, meşru bir uygulamanın bu tür bir saldırıda kötü niyetli yükü yürütmesini engelleyemez. Bu nedenle, operasyonel dayanıklılık anahtardır” diye ekledi.
Miller, DLL yandan yükleme saldırılarını tespit etmenin zor olabileceğini, ancak savunucuların yürütülebilir dosyalardaki imzasız DLL’leri veya yürütülebilir dosyanın derleme süresi ile DLL yükleme süresi arasındaki boşlukları gösteren şüpheli yükleme yollarını ve zaman damgalarını arayarak önlerine geçebileceğini söyledi. . Buradaki önemli fark, kötü niyetli bir yükün devrede olduğunu gösterebilir.
Palo Alto, Cortex XDR aracısı Windows’a yüklendiğinde ve Döküm Hizmeti Aracı doğru kurulum yolundan çalışırken, Cortex XDR aracısının güvenlik izinleri ve korumaları onu izinde durdurduğu için tekniğin kullanılamayacağını söyledi.
İki yıldan uzun bir süre önce piyasaya sürülen CU-240’lı Cortex XDR Agent 7.7 ve sonraki sürümler, Rorschach’ı sorunsuz bir şekilde algılayabilir ve engelleyebilir.
Palo Alto bir güncellemede, “Bu sorun, Cortex XDR aracısını kullanan müşteriler için bir ürün güvenlik açığı riskini temsil etmiyor” dedi.
Ancak Palo Alto, gelecekte olası kötüye kullanımı önlemek için Cortex XDR aracısının yeni sürümlerini yayınlamayı planladığını ve Rorschach tarafından kullanılan belirli DLL yandan yükleme tekniğini tespit etmek ve önlemek için bu ayın sonlarında yeni bir içerik güncellemesinin yayınlanacağını söyledi.