Bilgisayar korsanları, uç nokta tespitini ve yanıtı atlamak için çalıntı sertifikaları kullanır
Prajeet Nair (@prajeaetspeaks) •
24 Mart 2025
Rusça konuşan bir fidye yazılımı grubu, son nokta güvenliğini atlamak için meşru bir Crowdstrike Falcon sürücüsünü taklit eden kötü niyetli bir Windows PE sürücüsü kullanıyor.
Ayrıca bakınız: AI, Otomasyon ve Uyum: Bankacılık Risk Yönetiminde Yeni Sınır
“Kendi savunmasız sürücünüzü getir”, hackerların güvenlik araçlarını devre dışı bırakmak için kullandıkları iyi bir yöntemdir ve Medusa fidye yazılımı operasyonu geçen Ağustos ayından bu yana görünüşe göre bunu gerçekleştirdi.
Virustotal’da sürücünün bulunduğu örnekler, smul.sysmuhtemelen Çinli şirketlerden çalınan, iptal edilmiş sertifikalar kullanılarak imzalanmıştır. Medusa, 2011’in ortalarından beri aktif ve son zamanlarda kurbanları iki kez bir şifreleme için ödemeye zorlamak amacıyla üçlü gaspli bir aldatmaca kullanarak çalkalanma taktiklerinin en son noktasında, bu ayın başlarında uyardı.
İlk olarak başka bir kampanyada ConnectWise tarafından bildirilen sürücü, Heartcrypt paketli bir yükleyici ile birlikte konuşlandırıldı.
Bu kampanyanın gizliliğinin önemli bir sağlayıcısı, Medusa operatörlerinin şirketlerden çalınan dijital sertifikaları kullanmasıdır. Araştırmacılar, Foshan Gaoming Kedeyu Yalıtım Materyalleri, Changsha Hengxiang bilgi teknolojisi ve Shenzhen Yundian teknolojisinden de dahil olmak üzere birkaç tehlike oluşturdu. Sertifika hırsızlığı genellikle tespit edilmez ve kuruluşları bilmeden kötü amaçlı dosyalara güvenmeye duyarlı bırakır.
Yürütmeden sonra sürücü, yol ve bir bağlantı içeren bir cihaz oluşturur. Çekirdek modüllerini yükleyerek ve önleme ön geri çağrıları kaydederek başlatır. ObRegisterCallbackbilgisayar korsanlarının güvenlik araçlarının korunan süreçlere erişmesini algılamasına ve önlemelerine izin verir.
Kötü amaçlı yazılım, işlem kimlikleri yoluyla yinelenir, işlem işlemlerinden erişim tutamaçlarını çıkarır ve güvenlik araçlarının kötü amaçlı yazılımların kendi süreçlerini denetlemesini veya sonlandırmasını engeller. Güvenlik araçlarının ne zaman korunan iş parçacıklarına kolu açmaya çalıştığını tespit etmek için geri arama kaydeder ve EDR çözümlerini etkili bir şekilde etkisiz hale getirerek erişimi reddeder.
Kampanya, saldırganlara süreçleri sonlandırma, dosyaları silme ve sistem bileşenlerini değiştirme de dahil olmak üzere çeşitli işlemler sağlayan kapsamlı bir G/Ç kontrol işleyicileri listesini içeriyor. NTF’lerin ve PNP sürücülerinin orijinal ana işlevlerini geri yükleyerek güvenlik kanallarını kaldırarak güvenlik ürünlerinin sistem etkinliğini izlemesini önleyebilir.
Ayrıca, dosya sistemi izlemeye dayanan güvenlik araçlarını kör eden minifilter cihazları ayırabilir. G/Ç istemek paket manipülasyonu yürüterek sürücü, dosya işlemleri için standart API’leri atlar ve tespiti tetiklemeden dosyaları gizlice oluşturmasına, kopyalamasına ve silmesine izin verir.
Kötü amaçlı yazılım, belgelenmemiş HalreturntOfirmware işlevini kullanarak sistemi yeniden başlatabilir ve etkinliğinin izlerini etkili bir şekilde silebilir.