Qilin Fidye Yazılımı, EDR Güvenlik Önlemlerini Bitirmek İçin TPWSAV.SYS sürücüsünü kullanıyor

Qilin fidye yazılımı (RAAS) operasyonu ile ilişkili siber suçlular, daha önce belgelenmemiş savunmasız bir sürücü olan TPWSAV.SYS, (EDR) sistemleri devre dışı bırakarak ileri kaçınma tekniklerini göstermiştir.

İlk olarak Temmuz 2022’de gözlemlenen Qilin, fidye ödenmemiş kalırsa, iştirakler ödemelerin% 80-85’ini kazanırsa, özel sitelerde sızıntı için verileri püskürterek çift gasp taktikleri kullanır.

Golang ve Rust’taki varyantlar Windows ve Linux’u hedefler, OAEP dolgularını kullanarak RSA-2048 veya RSA-4096 ile AES-256 dahil özelleştirilebilir şifreleme modları sunar.

Son olaylar, Ipscanner.ps1 ve logon.bat gibi komut dosyalarını dağıtma ve toplu veri pespiltrasyonuna güvenmeyi azaltarak Grup İlkesi Nesneleri (GPO’lar) yoluyla kimlik bilgisi hasatına kaymaları vurgular.

Ekim 2024’te Qilin.b varyantı, gelişmiş gizlilik için kendi kendini aşınma ve olay günlüğü temizleme tanıttı ve grubun geleneksel güvenlik önlemlerine karşı adaptasyonunu vurguladı.

Ayrıntılı Saldırı Zinciri

Saldırı zinciri, Rusça barındırılan bir IP’den (31.192.107.144) SSL VPN üzerinden çalıntı kimlik bilgileri yoluyla başlangıç erişimiyle başladı ve Golang tabanlı bir Ters Proxy yürütülebilir dosyası, Main.exe, ABD tabanlı bir şok barındırma IP’sine tünel attı (216.120.203.26).

Yanal hareket RDP ve uzaktan araçlardan yararlandı, ardından kötü niyetli bir DLL, avupdate.dll’yi silen meşru bir imzalı güncelleyici, upd.exe’nin dağıtımını izledi.

Bu DLL, Web.dat’tan (anahtar 0x6a) xor şifreli bir yükü çözdü ve mmmapiospace ile eşlenmiş IOCTL işleyicileri aracılığıyla keyfi bellek okuma/yazma için savunmasız bir TPWSAV.sys’i yükleyen özelleştirilmiş bir EDRSandblast aracını ortaya çıkardı.

Bunlardan yararlanan saldırganlar, bip sesi ile bip sesi çıkararak, kabuk koduyla üzerine yazarak sürücünün bippikeControl işlevi, özel bir IOCTL (0x222000) aracılığıyla çekirdek seviyesi keyfi okumaları/yazma sağlayarak kaçırdı.

Bu, çekirdek geri çağrılarının ve etkinlik izleme sağlayıcılarının kaldırılmasını kolaylaştırarak EDR kancalarını etkili bir şekilde nötralize etti.

Gömülü MSP kimlik bilgileri ile yürütülen fidye yazılımı ikili, rastgele uzantılar eklerken şifrelenmiş dosyalar, ancak Blackpoint’in SOC’u, sistemleri izole etmek ve veri kaybını önleyerek müdahale etti.

Analiz, EDRSandblast’ın önceden nüfuslu çekirdek ofsetlerinin IOFCompleterequest gibi yapıların bulunmasına yardımcı olan, fiziksel-santa eşlemeleri, hassas üzerine yazılar için SystemPerfetchInformation yoluyla sorgulanan, salt okunan korumaları atlayarak gösterir.

Proaktif savunma için çıkarımlar

Bu olay, TPWSAV.sys’in daha önce Wild Insoured’i göstermediği için, muhtemelen karanlık web pazarlarından özelleştirilmiş araçlar tedarik eden RAAS iştiraklerinin karmaşıklığını örneklendiriyor.

Rapora göre, yükleme ve bellek numaralandırma için idari ayrıcalıklar gerektiren teknik, derin pencereler çekirdeği bilgisi talep ederek sürücü işleyicilerinin üzerine yazmak için kamu rootkit yöntemlerini entegre ediyor.

Tarihsel veriler, Qilin’in 164 sızdırılmış kurbanla Kuzey Amerika’daki endüstrileri hedeflediğini göstermektedir, ancak gerçek sayılar açıklanmayan ödemeler nedeniyle bunu aşabilir.

Blackpoint’in katmanlı tepkisi gerçek zamanlı izleme, hızlı izolasyon ve tehdit avı, birden fazla karşılaşmada engellenen şifrelemeyi engelleyerek sadece EDR Reliance’a karşı derinlemesine vurgu yaptı.

Fidye yazılımı geliştikçe, kuruluşlar bu tür gizli BYOVD istismarlarına karşı koymak için uyanık izleme ve kimlik bilgisi hijyeni önceliklendirmelidir.

Uzlaşma Göstergeleri (IOCS)

Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!