Siber suçlular, son nokta algılama ve yanıt sistemlerini atlamak için belirsiz bir Toshiba dizüstü bilgisayar sürücüsünü silahlandırarak gelişen sofistike olduklarını bir kez daha gösterdiler.
Temmuz 2022’den bu yana aktif olan Qilin fidye yazılımı operasyonu, TPWSAV.SYS adlı daha önce bilinmeyen savunmasız bir sürücü, saldırı cephaneliğine dahil etti ve bu da EDR korumalarını kendi vulnernable sürücü (BYOVD) olarak bilinen bir teknikle gizlice devre dışı bırakmalarını sağladı.
Bu gelişme, fidye yazılımı operatörlerinin kuruluşların güvendiği geleneksel güvenlik önlemlerinden kaçınma yeteneğinde önemli bir artışı temsil etmektedir.
Qilin fidye yazılımı grubu, hizmet olarak fidye yazılımı modeli altında faaliyet göstermektedir ve iştiraklere 3 milyon doların altındaki fidye ödemeleri için% 80 ve daha büyük ödemeler için% 85 önemli kar marjları sunmaktadır.
.webp)
Hem Golang hem de Rust Programlama Dillerinde yazılan Qilin, fidye talepleri karşılanmazsa kurban verilerini çalmak ve sızdırmakla tehdit ederek Windows ve Linux sistemlerini hedefler.
.webp)
Grup, Rusça konuşan siber suçlu örgütleri arasında yaygın bir uygulama olan Bağımsız Devletler Topluluğu ülkelerine yönelik saldırıları yasaklayarak sıkı operasyonel güvenliği sürdürüyor.
Blackpoint analistleri, fidye yazılımı operatörlerinin gelişmiş çekirdek düzeyinde manipülasyon yetenekleri gösterdiği son zamanlarda yapılan bir olay soruşturması sırasında bu sofistike saldırı zincirini belirledi.
Saldırı dizisi, aslında Karbon Black Bulut Sensörü AV güncelleme aracı olan Upd.exe adlı meşru imzalı bir yürütülebilir dosyanın dağıtılmasıyla başlar.
Ancak, meşru muadilini yüklemek yerine, yürütülebilir yükleme, ilk yük dağıtım mekanizması olarak hizmet veren avupdate.dll adlı kötü niyetli bir dinamik bağlantı kütüphanesi ile uğraşır.
Kötü niyetli DLL, web.dat adlı kodlanmış bir dosyayı yüklemeden ve yürütmeden önce sanal makine algılama ve hata ayıklama kontrolleri dahil olmak üzere birden fazla anti-analiz tekniği gerçekleştiren Avupdate_get_version adlı dışa aktarılan bir işlev içerir.
Bu dosya, 0x6A bayt değeri ile kodlanmış ve saldırganların enfeksiyon zinciri boyunca araçlarını gizleme taahhüdünü gösteren Windows taşınabilir bir yürütülebilir dosyayı temsil eder.
Gelişmiş çekirdek seviyesi EDR bypass mekanizması
Kod çözülmüş Web.dat dosyası, EDR ürünlerini çekirdek düzeyinde devre dışı bırakmak için tasarlanmış açık kaynaklı bir araç olan EDRSandBlast’ın ağır özelleştirilmiş bir varyantı olarak ortaya çıkar.
.webp)
Çoğu EDR satıcısının işaretlediği yaygın olarak tespit edilen savunmasız sürücüleri kullanmak yerine, tehdit aktörleri stratejik olarak seçilen TPWSAV.sys, başlangıçta Toshiba dizüstü bilgisayarlarında güç tasarrufu sağlayan ve 2015 yılında derlenmiş meşru imzalı bir Windows çekirdek sürücüsü.
.webp)
TPWSAV.SYS sürücüsü, bir seferde bir bayt olmak üzere keyfi bellek okuma ve yazma işlemlerini sağlayan iki kritik IO kontrol kodu içerir.
Bu IOCTL işleyicileri, fiziksel bellek adreslerini MMMapiospace işlevini kullanarak sanal adreslerle eşleştirerek, kötü amaçlı yazılımların MMunmapiospace ile adresi çıkarmadan önce bellek içeriğini okumasına veya değiştirmesine izin verir.
Bu özellik, saldırganların sanal adres içeriğini haritalamak ve değiştirmek için fiziksel adreslerden yararlanarak salt okunur bellek korumalarını atlamalarını sağlar.
Saldırı, yerel Windows sürücüsü bipinde BipDevicontrol işlevinin üzerine özel kabuk koduyla yazıldığı sofistike bir teknik kullanır.
Bu kaçırma işlemi, sanal-fiziksel adres eşlemelerini SystemSuperfetchinformation sorguları yoluyla alırken, bip sesi ve BipDevicontrol ofseti dahil olmak üzere temel adreslerin numaralandırılmasını içerir.
Shellcode meşru işleyiciyi değiştirdikten sonra, 0x222000 komutuna yanıt veren özel bir IOCTL işlemcisi uygular ve çoğu EDR çözümünü çekirdek arama rutinlerini ve olay izleme mekanizmalarını kaldırarak etkili bir şekilde nötralize eden sınırsız çekirdek bellek erişim özelliklerini sağlar.
TPWSAV.SYS’nin Qilin Operasyonunun araç setine başarılı bir şekilde entegrasyonu, fidye yazılımı bağlı kuruluşlarının artan karmaşıklığını ve karanlık web pazarları aracılığıyla gelişmiş araçlara erişimini, geleneksel EDR çözümlerinin ötesinde gelişmiş algılama mekanizmalarına acil ihtiyacı vurgulamaktadır.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin