LockBit 3.0, dünya çapındaki kuruluşlar için önemli bir tehdit olarak tanımlanan gelişmiş bir fidye yazılımıdır.
Bu fidye yazılımı çeşidi, virüslü sistemlerdeki dosyaları şifrelemek ve fidye ödenene kadar bu dosyaları erişilemez hale getirmek için tasarlanmıştır.
LockBit”, Eylül 2018’den bu yana aktif olan bir hizmet olarak fidye yazılımı (RaaS) grubudur. LockBit çeşitli varyantlar geliştirmiştir: LockBit 1.0, LockBit 2.0, LockBit 3.0 ve LockBit Green.
Lockbit Black olarak da bilinen Lockbit 3.0, ilk kez 2018 yılında tespit edildi. Karmaşık mimarisi ve şifreleme yöntemleri nedeniyle geleneksel tarama motorlarından kaçıyor.
Kötü Amaçlı Yazılım analizi, SOC veya Olay Müdahale ekibinden misiniz? Artık kötü amaçlı yazılım dosyasını, ağı, modülü ve kayıt defteri etkinliğini şu şekilde analiz edebilirsiniz: ANY.RUN kötü amaçlı yazılım korumalı alanıve Tehdit İstihbaratı Araması bu, işletim sistemiyle doğrudan tarayıcıdan etkileşim kurmanıza olanak tanır.
LockBit 3.0, şifre çözme anahtarı olmadan dosyaların şifresini çözmeyi zorlaştıran gelişmiş şifreleme teknikleriyle tanınır.
Fidye yazılımı genellikle kimlik avı e-postaları veya kötü amaçlı web siteleri aracılığıyla dağıtılır ve bir sisteme bulaştığında, ağ üzerinden hızla yayılır ve bağlı tüm cihazlardaki dosyaları şifreler.
LockBit 3.0 aynı zamanda geleneksel antivirüs yazılımlarının tespitinden de kaçabiliyor ve bu da onu tehlikeli bir tehdit haline getiriyor.
Güvenlik araştırmacısı Yusuf Amr’a göre, numunenin ilk incelemesi kötü niyetli faaliyet belirtileri gösteriyor. Giriş noktası oldukça şüpheli olan ‘.itext’ bölümünde bulunur.
Keşif amacıyla bir dizi API’nin kullanılması.
Bazı kütüphane içe aktarmaları ve dizeleri şüpheli görünüyor.
Numune aşağıda gösterildiği gibi paketlenir:
Kötü amaçlı yazılım örneğinin patlamasından sonra, fidye yazılımı işleminin altında, kaybolmadan önce birkaç saniye boyunca kısa bir süre ‘WerFault.exe’ işlemi belirir.
Fidye yazılımı, Windows Sorun Raporlama (WerFault.exe) hata raporlama aracını kötüye kullanarak, ihlal edilen sistemde herhangi bir alarm vermeden cihazlara gizlice bulaşabiliyor. Bu, kötü amaçlı yazılımın yasal bir Windows yürütülebilir dosyası aracılığıyla başlatılmasıyla gerçekleştirilir.
Dosya özniteliklerinin okunması işlemi sırasında arabellek taşması istisnalarıyla karşılaşıldı:
Tipik fidye yazılımı davranışı, Masaüstü ayarları ve kabuk klasörleri gibi sistem kayıtlarına erişmeyi içerir.
Ağ trafiğini Wireshark kullanarak analiz ettikten sonra fidye yazılımı örneğinin, virüslü ana bilgisayarda bir bağlantı noktası tarama etkinliği başlattığını gösteriyor
Ek olarak, herhangi bir genel IP adresine veya bir komut ve kontrol (C2C) sunucusuna yönelik DNS sorgularına harici bağlantı yoktur; bu, daha önce gerçekleştirdiğimiz statik analizi doğrulayarak, kötü amaçlı yazılımın ilk aşamasının gözetime odaklandığını gösterir.
Kötü amaçlı yazılım, ‘İstisna Taşması’ olarak bilinen bir hata ayıklayıcıdan kaçınma tekniğini kullanır. Örnek, bir hata ayıklayıcıda hizmet reddine (DoS) neden olacak şekilde tasarlanmış önemli sayıda işlev çağrısı içerir.
Bu sorun, hata ayıklayıcının istisna filtresinde C0000005 istisna kodunun ayarlanmasıyla azaltılabilir. Özellikle x64dbg için, istisna kodu önceden bilinmiyorsa, en son istisnayı filtreye otomatik olarak eklemek için ‘Sonuncuyu Yoksay’ özelliği kullanılabilir.
Alternatif olarak bu sorun, bu talimatları NOP (İşlem Yok) baytlarıyla değiştirmek için analiz sırasında dosyaya bir yama uygulanarak çözülebilir.
Yasadışı talimat istisnasını görebileceğiniz gibi, bunu no yaparak atlayabiliriz.
do_encoding işlevi, C++’ın std::codecvt sınıfının bir üye işlevidir. Karakter dizileri üzerinde kodlama ve kod çözme işlemlerini gerçekleştirmek için kullanılır.
do_unshift işlevi aynı zamanda std::codecvt sınıfının bir üye işlevidir. Karakter dizileri üzerinde kaydırma işlemlerini gerçekleştirmek için kullanılır.
Genel olarak fidye yazılımı, güvenlik yazılımı tarafından tespit edilmekten kaçınmak ve keşfedilmesini önlemek için tasarlanmıştır.
Buna, kurbanın bilgisayarındaki varlığını gizlemek için gizleme tekniklerinin kullanılması ve operasyonun ilk aşaması olarak bir anket başlatılması da dahildir.
Ağınız saldırı altında mı?: Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar da dahil olmak üzere son derece zararlı, hasara yol açabilecek ve ağınıza zarar verebilecek kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması.