Elastik güvenlik laboratuvarları tarafından yakın zamanda yapılan bir analizde, Abyssworker olarak bilinen kötü niyetli bir sürücü, Medusa Fidye yazılımı saldırı zincirinde temel bir bileşen olarak tanımlanmıştır.
Bu sürücü, son nokta algılama ve yanıt (EDR) sistemlerini devre dışı bırakmak için özel olarak tasarlanmıştır, bu da kötü amaçlı yazılımların algılamadan kaçmasına ve yükünü daha etkili bir şekilde yürütmesine izin verir.
Abyssworker sürücüsü genellikle saldırganlar tarafından güvenlik önlemlerini atlamak için kullanılan sofistike bir yöntem olan kalp krizi dolu bir yükleyicinin yanına dağıtılır.
Sürücü, adlandırılmış smuol.sysmeşru bir Crowdstrike Falcon sürücüsü olarak maskeli, tespit çabalarını daha da karmaşıklaştırıyor.
Kötü amaçlı yazılım yazarları tarafından meşru görünmek için yaygın olarak kullanılan bir taktik olan Çinli şirketlerden olası çalınan, iptal edilmiş sertifikalarla imzalanmıştır.
Bu sertifikalar bu sürücüye özgü değildir ve çeşitli kötü amaçlı yazılım kampanyalarında kullanılmıştır.
Abyssworker’ın teknik analizi
Başlatma üzerine, Abyssworker sürücüsü bir cihaz ve sembolik bağlantı oluşturur, daha sonra müşteri işlemlerini korumak için geri arama kaydeder.
Bunu, mevcut tutamaçları istemci işlemine diğer çalışan işlemlerden çıkararak, kendisini dış parazitten etkili bir şekilde koruyarak elde eder.
Sürücü ayrıca, tam işlevselliğini etkinleştirmek için bir G/Ç kontrol isteği aracılığıyla belirli bir parolanın gönderilmesini gerektiren şifre tabanlı bir aktivasyon mekanizması kullanır.
Abyssworker’ın yetenekleri, dosyaları manipüle etmeye ve süreçleri ve iş parçacıklarını sonlandırmaya kadar uzanır.
Standart API’lara güvenmeden dosyaları oluşturmak, kopyalamak ve silmek için G/Ç istemek paketlerini (IRPS) kullanır ve işlemlerini daha az algılanabilir hale getirir.
Ayrıca, bildirim geri aramalarını EDR sistemlerinden kaldırabilir ve bunları faaliyetlerine daha da kör edebilir.
Sürücü ayrıca, hedeflenen sürücülerin ana işlevlerini kukla fonksiyonlarla değiştirebilir ve bunları etkili bir şekilde devre dışı bırakabilir.
Darbe
Medusa fidye yazılımı saldırılarında abyssworker sürücüsünün kullanılması siber tehditlerin gelişen sofistike olduğunu vurgulamaktadır.
EDR sistemlerini devre dışı bırakarak, saldırganlar kötü amaçlı yazılımlarını azaltılmış algılama riskiyle uygulayabilir.
Bu tür tehditlere karşı koymak için kuruluşlar, şüpheli sürücü kurulumlarının izlenmesi ve bilinen kötü amaçlı yazılım imzalarını tespit etmek için Yara kuralları gibi araçları kullanmak da dahil olmak üzere sağlam güvenlik önlemleri kullanmalıdır.
Elastik Güvenlik Laboratuarları, algılama yeteneklerini artırmak için güvenlik çerçevelerine entegre edilebilen abyssworker’ı tespit etmek için özel YARA kuralları sağlamıştır.
Tehdit manzarası gelişmeye devam ettikçe, siber güvenlik profesyonellerinin rakipler tarafından kullanılan gelişmekte olan taktikler ve teknikler hakkında bilgilendirilmesi çok önemlidir.
Abyssworker gibi özel sürücülerin konuşlandırılması, siber güvenlik stratejilerinde sürekli izleme ve adaptasyon ihtiyacının altını çizmektedir.
Tehdit İstihbarat Araması ile Gerçek Dünyanın Kötü Amaçlı Bağlantıları ve Kimlik Yardım Saldırılarını Araştırın-Ücretsiz Deneyin