Lockbit operatörleri, kötü niyetli bir uygulamayı maskelemek için gizli DLL kenar yükünü kullanır.

Lockbit fidye yazılımı operatörleri, tespiti önlemek ve her zaman değişen siber tehdit dünyasında hasarı arttırmak için taktiklerini, yöntemlerini ve prosedürlerini (TTP’ler) geliştirdi.

Bu saldırganlar, DLL yan yükleme ve maskelenerek yararlanarak, meşru sistem süreçleri içindeki kötü niyetli faaliyetleri gizleyerek uzlaşmış ortamlara kalıcılığı ve sorunsuz entegrasyonu sağlıyor.

DLL, hileler, kötü amaçlı kütüphanelerin yüklenmesine güvenilirken, dosyaları ve işlemleri iyi huylu olanları taklit etmek için yeniden adlandırarak rutin işlemlerden ayırt edilemez hale getirir.

Bu yaklaşım, sadece doğal sistem güvenlerinden yararlanmakla kalmaz, aynı zamanda lockbit yüklerinin dijital olarak imzalanmış yürütülebilir dosyalarla paketlendiği son kampanyalarda görüldüğü gibi güvenlik araçları tarafından kimliği de zorlaştırır.

Fidye yazılımı dağıtımında gelişen taktikler

Operatörler, Meshagent veya TeamViewer gibi uzak masaüstü araçlarından ilk erişim elde ederek, doğrudan hedef makinelere dosyaları yükleyerek ve yürüterek saldırıları başlatır.

Ayrıcalık yükseltme, NSSM gibi hizmetleri, uzaktan erişim truva atlarını (sıçanları) çalıştırmak için kullanan hizmetleri kullanarak, genellikle psexec64.exe -s -i cmd gibi komutlarla sistem ayrıcalıkları altında komut istemleri altında komut istemlerini ortaya çıkarır.

Discovery aşamaları, daha fazla sızma için istihbarat toplamak için etki alanı kullanıcıları, gruplar, güvenler ve izinleri numaralandırmak için net.exe, nltest.exe ve query.exe gibi araçları içerir.

Kimlik Doğru hırsızlığı, Domain Controller’dan Kerberos biletlerini çıkarmak için SD1.EXE’nin yanı sıra komutları yürütmek için NT Authority \ System gibi yüksek ayrıcalıklı jetonları taklit etmek için tokenutils.exe kullanır.

Lateral hareket, fidye yazılımı DLL’leri, maskeli yürütülebilir ürünler ve rastgele anahtarlar üreten, belirli dosya türleri (örn., PDF’ler, belgeler, görüntüler ve kod dosyaları) ve.

Etki DLL Sideloading Örnekleri ile elde edilir: Meşru Jarsigner.exe Yükseltileri dağıtmak için kötü amaçlı bir jli.dll yükleme; yeniden adlandırılan mpcmdrun.exe ( .exe) lockbit kodu içeren mpclient.dll ile sideloaded; ve şifreleme için clink_dll_x86.dll ile eşleştirilmiş gizlenmiş clink_x86.exe.

Encth.exe veya dwa.exe gibi fidye yazılımı ikili dosyalarının doğrudan yürütülmesi, kamuflaj için sistem dizinleriyle harmanlanarak verileri daha da şifreleyin.

Lockbit’in evriminin ortasında savunma önlemleri

Syrphid Grubu tarafından işletilen Lockbit, 2019’dan bu yana 500 milyon dolara kadar çıktı, ancak iddia edilen lider dimitry Khoroshev ve Lockbit 3.0 inşaatçısının sızıntısı da dahil olmak üzere 2024 aksamaları, bağlı olmayan aktörler arasındaki kullanımını demokratikleştirdi.

Rapora göre, hedeflenen kampanyalarda gözlemlenen bu TTP’ler, sağlam savunma ihtiyacının altını çiziyor.

Symantec EDR anomalileri AI özetleri aracılığıyla algılarken, karbon siyahı fidye.lockbit, heur.advml.b ve sonar.ransomware gibi davranışlar üzerinde uyarılır! G3.

Ağ Korumaları Bayrak TeamViewer ve Meshagent etkinlikleri, C&C alan adları yüksek riskli malnetler olarak kategorize edilir. Davranışsal göstergeler arasında LSASS’a erişen güvenilmeyen süreçler veya şüpheli komutları başlatan Psexec’i içerir.

Kuruluşlar, benzer teknikler Lockbit’in ötesinde diğer kötü amaçlı yazılımları dağıtabileceğinden, bu gizli yöntemlere karşı koymak için uç nokta tespiti, anomali izlemeye ve yama yönetimine öncelik vermelidir.

Uzlaşma Göstergeleri (IOC)

Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!