RansomHub, iştirak şeması ve keşfedilmeyi önlemek ve hacklenen cihazlarda veya ağlarda varlığını sürdürmek için uç nokta algılama ve yanıt (EDR) özelliğini kapatma veya devre dışı bırakma yöntemleri kullanmasıyla tanınır.
Uzmanlar, Ransomhub’ın saldırı zincirine yeni bir kaçınma yöntemi olan EDRKillShifter’ı entegre ettiğini keşfetti.
EDRKillShifter’ın amacı, güvenlik izleme prosedürlerine müdahale ederek ve tespitten kaçınarak EDR çözümlerinin etkinliğini zayıflatmak ve savunmasız sürücülerden yararlanmaktır.
Trend Micro, bu grubu RansomHub fidye yazılımından sorumlu olan ve güvenlik çözümleriyle saklambaç oynamak için çeşitli EDR karşıtı taktikler kullanan Water Bakunawa olarak tanımladı.
Bu RansomHub, su ve atık su, BT, ticari ve kamu hizmetleri ve tesisleri, sağlık, tarım, finansal hizmetler, imalat, ulaşım ve iletişim gibi endüstrilere ve hayati altyapı sektörlerine yönelik fidye yazılımı saldırılarıyla ilişkilendirildi.
CISO’larla tanışın, uyumluluğu öğrenmek için Sanal Panele katılın – Ücretsiz Katıl
EDRKillShifter’ı Kullanan RansomHub’ın Enfeksiyon Zinciri
Uzmanlar, EDRKillShifter’ın güvenlik prosedürlerini gerçek zamanlı olarak dinamik bir şekilde bozduğunu ve tespit yetenekleri geliştikçe tekniklerini değiştirerek standart EDR çözümlerine göre ilerleme kaydettiğini söylüyor.
EDRKillShifter’ın EDR devre dışı bırakma özellikleri saldırı zincirine kusursuz bir şekilde entegre edilmiştir, böylece saldırının tüm aşamalarında bu özelliklerden yararlanılır ve genel etkinlik artırılır.
Bu gelişmeler EDRKillShifter’ı geleneksel uç nokta güvenlik sistemlerine karşı güçlü bir silaha dönüştürüyor ve işletmelerin daha dayanıklı ve esnek güvenlik önlemleri uygulamasını gerektiriyor.
Araştırmacılar, “EDRKillShifter aracı, antivirüs çözümleriyle ilgili uygulamaları sonlandırmak için kötüye kullanıma açık meşru bir sürücü için bir dağıtım mekanizması görevi gören bir ‘yükleyici’ yürütülebilir dosyası olarak işlev görüyor” dedi.
RansomHub fidye yazılımı Zerologon güvenlik açığını (CVE-2020-1472) istismar ediyor. Araştırmacılar, yama yapılmadan bırakılırsa saldırganların kimlik doğrulaması gerektirmeden tüm ağı ele geçirmesine izin verebileceğini söyledi.
Belirli bir örnekte, RansomHub, “232.bat”, “tdsskiller.bat”, “killdeff.bat” ve “LogDel.bat” adlı toplu komut dosyaları için bir kaçınma biçimi olarak kullanıldı.
232.bat, Windows Defender’ın gerçek zamanlı izleme yeteneğini kapatır ve parola püskürtme adı verilen kaba kuvvet saldırı yöntemini kullanır.
Antivirüs yazılımlarını devre dışı bırakmak için tdsskiller.bat adlı bir toplu iş betiği kullanılır. Killdeff.bat, bildirimleri gizlemek ve Windows Defender’ın işlevselliğini etkinleştirmek veya devre dışı bırakmak için karmaşıklaştırılmış satır içi ifadeler, ortam değişkeni okumaları ve koşullu mantık gibi gelişmiş yöntemler kullanır.
LogDel.bat sistem dosyalarını ve ayarlarını alışılmadık bir şekilde değiştiriyor ve muhtemelen yetkisiz uzaktan erişime izin vermek için Uzak Masaüstü Protokolü (RDP) ayarlarını değiştiriyor.
Ransomhub, Görev Yöneticisi’ni kullanarak Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti (LSASS) belleğini kullanarak kimlik bilgilerini döküyor ve saldırıyı tırmandırıyor.
Fidye yazılımı bu yöntemi kullanarak özel oturum açma bilgilerini elde edebiliyor ve bu da daha kapsamlı ve yıkıcı saldırılara yol açıyor.
Saldırganlar, Lateral Tool Transfer yöntemini kullanarak sistemler arasında zararlı araçları gizlice transfer ettiler. Uzaktan erişim aracı olan AnyDesk, komuta ve kontrol (C&C) sistemi olarak hizmet etti.
Öneriler
- Uç nokta koruma sistemlerini güçlendirin.
- Sürücü ve çekirdek düzeyinde korumaları uygulayın.
- Kimlik bilgisi ve kimlik doğrulama güvenliğini uygulayın.
- Davranışsal izleme ve anormallik tespitini etkinleştirin.
- Uç noktaların güvenlik yapılandırmalarını güçlendirin.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial