Lockbit fidye yazılımı operatörleri, meşru uygulamalara yerleştirilen doğal güvenden yararlanan DLL kenar yükleme tekniklerinden yararlanarak tespitten kaçınmak için giderek daha karmaşık bir yaklaşım benimsemiştir.
Bu gizli yöntem, meşru, dijital olarak imzalanmış uygulamaları, amaçlanan bileşenleri yerine kötü niyetli dinamik bağlantı kütüphanelerinin yüklenmesi için kandırmayı içerir ve siber suçluların güvenilir sistem işlemleri olarak maskelenirken fidye yazılımı yüklerini yürütmesine izin verir.
Tekniğin özellikle etkili olduğu kanıtlanmıştır, çünkü uygulamalar belirli dizin dizilerinde gerekli kütüphaneleri aradığı Windows DLL arama sırası mekanizmasını kullanır.
Saldırganlar, gerçek kütüphane konumlarından önce aranan dizinlerde meşru adlara aynı isimlere sahip kötü niyetli DLL’leri stratejik olarak yerleştirerek, güvenilir uygulamaların yükleme sürecini kaçırabilirler.
Bu yaklaşım, uygulama itibarına ve tehdit tespiti için dijital imzalara dayanan birçok geleneksel güvenlik önlemini atlar.
.webp)
Son saldırı kampanyaları, Lockbit’in geleneksel dağıtım yöntemlerinin ötesinde evrimini gösterdi ve tehdit aktörleri artık DLL sideloading’i kapsamlı maskeli yükleme teknikleriyle birleştiriyor.
Güvenlik tehdidi istihbarat analistleri, saldırganların kötü amaçlı yürütülebilir ürünleri şirket alan adlarını taklit etmek için yeniden adlandırdığı ve meşru ağ trafiğine karışma ve güvenlik izleme sistemleri tarafından algılanmayı önleme yeteneklerini daha da geliştirdikleri birden fazla örnek belirlediler.
.webp)
Fidye yazılımı grubu, Meshagent ve TeamViewer gibi uzaktan yönetim araçları aracılığıyla ilk erişim yoluyla yüksek değerli kuruluşları hedefleyen gözlemlenmiştir ve daha sonra kalıcılık oluşturmak ve şifreleme yükünü yürütmek için sofistike DLL kenar yükleme mekanizmalarını dağıtmıştır.
Gelişmiş DLL Sideloading uygulaması
Lockbit’in DLL yan yükleme uygulaması, fidye yazılımı yüklerini sunmak için üç temel meşru uygulama kombinasyonu kullanan dikkate değer teknik gelişmişlik gösterir.
En önde gelen örnek, saldırganların aynı dizinde kötü niyetli bir jli.dll ile birlikte meşru bir jarsigner.exe yerleştirdiği jarsigner.exe ve jli.dll Java platformu bileşenlerini içerir.
Yürütüldüğünde, jarsigner.exe doğal olarak JLI.DLL’yi işlevselliği için yüklemeye çalışır, yanlışlıkla kilitbit yükü için bir yükleyici görevi gören kötü amaçlı sürümü yükler.
Benzer şekilde, grup, bir kötü amaçlı mpclient.dll ile eşleştirilmiş, şirket alan adlarıyla maskelenmiş olarak yeniden adlandırılmış bir mpcmdrun.exe kullanılarak Windows Defender bileşenlerini kullanır.
Bu özel teknik, güvenlik yazılımı bileşenlerini kötü amaçlı yazılım sunmak için kullandığı için özellikle sinsidir, bu da algılamayı güvenlik ekipleri için önemli ölçüde daha zor hale getirir.
function gg($path) {
$ke = GER(32); $ig =GER(16);
$files=gci $path -Recurse -Include *.pdf, *.doc, *.docx, *.xls, *.xlsx
foreach ($file in $files) { EFI $file $key $iv $eee }
}Şifreleme işlemi, gizlenmiş PowerShell komut dosyalarına gömülü bir hibrit RSA ve AES şifreleme şeması kullanır.
Dosyalar, daha sonra gömülü bir RSA genel anahtarı ile şifrelenen rastgele oluşturulan AES tuşları kullanılarak şifrelenir, bu da saldırganlar tarafından tutulan ilgili özel anahtar olmadan şifrelemenin imkansız kalmasını sağlar.
Fidye yazılımı otuz farklı dosya uzantısını hedefler ve şifreli dosyalara ayırt edici .xlockxlock uzantısını ekler, bu da etkiyi kurbanlar tarafından hemen görülebilir hale getirir ve kurumsal ortamlarda yaygın olarak bulunan çeşitli dosya türlerinde kapsamlı veri şifrelemesi sağlar.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin