Siber güvenlik uzmanları, Qilin adlı sofistike yeni fidye yazılımı suşu, tehdit ortamında hızla ön plana çıkarak, eşi görülmemiş platformlar arası yetenekleri gösteriyor.
Kötü amaçlı yazılım, finansal, sağlık ve üretim sektörlerinde bir dizi yüksek profilli saldırıda Windows iş istasyonları, Linux sunucuları ve VMware ESXI hipervizörlerini başarıyla tehlikeye attı.
İlk raporlar, fidye yazılımının, kurban verilerini şifreleyerek, fidye ödemelerinin kaldıraçını artırmak için hassas bilgileri eşzamanlı olarak püskürtürken bir çift genişlemeli model kullandığını göstermektedir.
.png
)
Qilin ile bağlantılı güvenlik olayları son üç ay içinde önemli ölçüde arttı ve kuruluşlar fidye talepleri kripto para biriminde 500.000 ila 3 milyon dolar arasında değişti.
Fidye yazılımı operatörleri, konuşlandırmadan önce kapsamlı bir keşif yapmış gibi görünmektedir, kritik iş değerine sahip stratejik olarak hedefliyor ve şifrelemeden önce yedekleme çözümlerini kasıtlı olarak devre dışı bırakıyor.
En önemlisi, Qilin’in minimal algılama ile ağlar aracılığıyla yanal olarak yayılma, meşru idari araçlardan yararlanma ve ilişkilendirmeyi ve analizi karmaşıklaştıran kara geçirme tekniklerini kullanmasıdır.
Cyberseason araştırmacıları, kötü amaçlı yazılımların Mayıs ayı ortalarında sofistike çok aşamalı enfeksiyon zincirini belirledi ve her dağıtım için benzersiz dosya imzaları üreten olağandışı polimorfik yeteneklerine dikkat çekti.
Cybereason başkanlık araştırmacısı Dr. Elena Markova, “Qilin’i diğer fidye yazılımı ailelerinden ayıran şey, modüler mimarisi ve davranışlarını karşılaştığı çevreye göre dinamik olarak ayarlama yeteneğidir” dedi.
Bu uyarlanabilirlik, kötü amaçlı yazılımların, güvenlik çözümleri tarafından tespit riskini en aza indirirken, heterojen kurumsal ağlardaki hasarı en üst düzeye çıkarmasına izin verir.
Qilin’in arkasındaki tehdit aktörleri, şifreli iletişim kanallarını kullanarak ve kimliklerini gizlemek için birden fazla yargı alanında tehlikeye atılmış altyapı kullanan dikkate değer operasyonel güvenlik gösterdiler.
Belirli kod öğeleri ve operasyonel kalıplar, daha önce hizmet olarak fidye yazılımı operasyonlarıyla ilişkili tehdit aktörlerine olası bağlantılar olduğunu düşündürse de, ilişkilendirme zorlayıcı olmaya devam etmektedir.
Özellikle rahatsız edici olan, operatörlerin özel bir sızıntı bölgesinde ödeme yapmayan kurbanlardan kaynaklanan verileri seçici olarak yayınladıkları ve fidye taleplerine uymak için mevcut hedefler üzerindeki baskıyı artırdıkları kanıtıdır.
Etkilenen sistemlerin adli analizi, Qilin’in hedeflediği her platform için benzersiz şifreleme algoritmaları uyguladığını ve belirli mimari için performansını optimize ettiğini ortaya koymaktadır.
.webp)
Fidye yazılımı, anahtar koruması için RSA-4096 ile dosya şifrelemesi için AES-256 kullanır ve araştırmacılar, saldırganların özel anahtarı olmadan şifre çözme sağlayacak hiçbir şifreleme zayıflığının tanımlanmadığını doğruladılar.
Enfeksiyon Mekanizması: Gelişmiş Kaçma Teknikleri
Qilin’in ilk enfeksiyon vektörü tipik olarak Microsoft Office uygulamalarında son güvenlik açıklarından yararlanan kötü niyetli belge ekleri içeren hedefli kimlik avı e -postalarını içerir.
Yürütme üzerine, kötü amaçlı yazılım, kabuk kodunu meşru pencereler süreçlerine enjekte eden sofistike bir damlalık aracılığıyla kalıcılık oluşturur.
.webp)
Bu kabuk kodu, aşağıdaki basitleştirilmiş gösterimde gösterildiği gibi ana yükü şifresini çözer ve yükler:-
void inject_payload(HANDLE hProcess) {
unsigned char encoded_shellcode[] = {
0x48, 0x31, 0xc0, 0x50, 0x48, 0xbb, 0x2f, 0x62, 0x69, 0x6e, 0x2f, 0x2f,
0x73, 0x68, 0x53, 0x48, 0x89, 0xe7, 0x50, 0x48, 0x89, 0xe2, 0x57, 0x48,
0x89, 0xe6, 0x48, 0x83, 0xc0, 0x3b, 0x0f, 0x05
};
// Decrypt shellcode using XOR with dynamic key
for(int i = 0; i < sizeof(encoded_shellcode); i++) {
encoded_shellcode[i] ^= generate_dynamic_key(i);
}
// Allocate memory in target process
LPVOID remote_buffer = VirtualAllocEx(hProcess, NULL, sizeof(encoded_shellcode),
MEM_COMMIT, PAGE_EXECUTE_READWRITE);
// Write shellcode to process memory
WriteProcessMemory(hProcess, remote_buffer, encoded_shellcode,
sizeof(encoded_shellcode), NULL);
// Execute shellcode
CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)remote_buffer,
NULL, 0, NULL);
}Linux ve ESXI sistemlerinde Qilin, ilk erişim elde etmek için tehlikeye atılan Windows ana bilgisayarlarından hasat edilen SSH kimlik bilgilerini kullanır, ardından her bir hedef platform için özel olarak derlenen özel modülleri dağıtır.
Kötü amaçlı yazılım, şifrelemeyi başlatmadan önce güvenlik izleme araçlarını dikkatle etkisiz hale getirerek algılama riskini en aza indirirken maksimum etki sağlar.
Herhangi biriyle erken tehdit tespiti, yükseltme ve hafifletme güçlendirin. 50 deneme araması alın.