Siber suçlular, son nokta algılama ve yanıt (EDR) sistemlerini devre dışı bırakmak için özel ve tehlikeye atılan sürücüleri kullanıyor ve tespit edilmemiş kötü niyetli aktiviteyi kolaylaştırıyor. Elastik Güvenlik Laboratuarları (ESL), Medusa fidye yazılımını dağıtan finansal olarak motive olmuş bir kampanya tespit etti ve Abyssworker adlı iptal edilen bir sürücü ile eşleştirilmiş bir yükleyici kullandı. Bir Çinli satıcıdan kaynaklanan bu sürücü, EDR çözümlerini etkisiz hale getirmek için tasarlanmıştır.
Hackread.com ile paylaşılan ESL’nin soruşturmasına göre, bu taktik güvenlik araçlarını kör eder ve kötü niyetli aktörlerin serbestçe çalışmasına izin vererek saldırılarının başarı oranını artırır.
Bir Çinli satıcıdan kaynaklanan Abyssworker sürücüsü, kendini kurban makinelerine kuran ve çeşitli EDR çözümlerini sistematik olarak hedefleyen ve susturan bir kampanyada önemli bir bileşendir.
Araştırmacılar blog yazısında, “Bu EDR-Killer sürücüsü, yakın zamanda başka bir kampanyada, farklı bir sertifika ve IO kontrol kodları kullanılarak başka bir kampanyada rapor edildi.
Kötü niyetli sürücünün gerçek dosya adı SMUOL.sys (64 bit Windows PE sürücüsü) olarak tanımlanır. Muhtemelen meşru sistem süreçlerine karışmak için meşru bir Crowdstrike Falcon sürücüsünü akıllıca taklit ediyor. ESL, Ağustos 2024’ten Şubat 2025’e kadar Virustotal tarihinde birden fazla örnek belirledi, hepsi Foshan Gaoming Kedeyu Yalıtım Materyalleri Co., Ltd ve Fei Xiao da dahil olmak üzere çeşitli Çin şirketlerinden iptal edilmiş sertifikalarla imzaladı. Bu sertifikalar, çeşitli kötü amaçlı yazılım kampanyalarında yaygın olarak kullanılırken, abyssworker’a özgü değildir.
Başlatma üzerine Abyssworker, ana işlevler için geri arama kaydederek bir cihaz ve sembolik bağlantı kurar. Kritik bir savunma kaçakçılığı mekanizması, mevcut tutamaçları müşteri sürecine sıyırmayı ve dış manipülasyonu önlemeyi içerir. Ayrıca, korunan süreçlerin ve iş parçacıklarının tutamaçlarına erişimi reddetmek için geri arama kaydeder.
Sürücünün temel işlevselliği, G/Ç kontrol kodlarına dayalı bir dizi işlem gerçekleştiren Cihaziokontrol işleyicilerinde bulunur. Bu işlemler dosya manipülasyonu, süreç ve sürücü fesih ve API yüklemesini içerir. Sürücünün kötü amaçlı özelliklerini etkinleştirmek için bir şifre gerekir. Dosya işlemleri için Abyssworker, standart API’leri atlayarak G/Ç istek paketlerini (IRPS) kullanır.
Abyssworker, bildirim geri aramalarını kaldırabilir, sürücü ana işlevlerini değiştirebilir, mini filtre cihazlarını ayırabilir, işlemleri ve iş parçacıklarını sonlandırabilir ve kanca NTF’leri ve PNP sürücü işlevlerini geri yükleyebilir. Özellikle, belgelenmemiş HalreturntOfirmware işlevini kullanarak bir sistem yeniden başlatmayı tetikleyebilir. Bu yetenekler, Medusa Fidye Yazılımının güvenlik müdahalesi olmadan çalışabilme yeteneğini doğrudan destekler.
Abyssworker’ın kullandığı önemli bir gizleme tekniği, statik analizi karmaşıklaştırmak için ikili boyunca “sürekli geri dönüş fonksiyonları” olarak adlandırılır. Bununla birlikte, elastik, tanımlanması kolay oldukları ve “verimsiz bir gizleme şeması” ilan ettikleri için verimsiz olduğunu düşündü.
Bununla birlikte, abyssworker, güvenlik altyapısını devre dışı bırakmak için tasarlanmış çekirdek seviyesi kötü amaçlı yazılımların artan karmaşıklığını gösteren önemli bir tehdidi temsil eder. ESL, araştırmacılara bu kötü amaçlı yazılımları daha fazla keşfetmek ve denemek için bir araç sunan bir müşteri uygulama örneği sağlamıştır. Tespitte daha fazla yardımcı olmak için Elastik Güvenlik, GitHub depolarında bulunan YARA kurallarını yayınladı ve güvenlik profesyonellerinin ortamlarında abysworker örneklerini belirlemelerini sağladı.
Massachusetts merkezli uygulama güvenliği çözümleri sağlayıcısı Burlington, Black Duck’ın ana danışmanı, ağ ve kırmızı takım uygulama direktörü Thomas Richards, en son geliştirme hakkında yorum yaptı.
“Medusa kötü amaçlı yazılım, bir yöntem engellendikten sonra bile ana bilgisayarları enfekte etmenin yeni yollarını buluyor. Sistem hizmetlerini devre dışı bırakmak için bir parti dosyası kullanılması, algılanabileceği ve engellenebileceği için kısa vadeli bir manzaradır. Güvenlik ekipleri, kullanıcının zaman hizmetini durdurmasını önlemek için zaman değişikliği olan ve son kullanıcı izinlerini inceleyen herhangi bir sistem için uyanık olmalıdır.“
Pixabay’dan WaveGenerics tarafından üst/öne çıkan görüntü