SOC’den Hikayeler – Aukill kötü amaçlı yazılımının gizli taktiklerini ortaya çıkarma


[ This article was originally published here ]

Yönetici Özeti

21 Nisan 2023’te AT&T Managed Extended Detection and Response (MXDR), bir ev tadilatı şirketi olan müşterilerimizden birine yönelik bir fidye yazılımı saldırısı girişimini araştırdı. Soruşturma, saldırganın sunucunun yüklü EDR çözümü SentinelOne’ı devre dışı bırakmak için istemcinin baskı sunucusunda AuKill kötü amaçlı yazılımını bir yönetici hesabını kaba kuvvet kullanarak ve bir sürücüyü savunmasız bir sürüme indirerek kullandığını ortaya çıkardı.

İlk olarak Haziran 2021’de Sophos X-Ops araştırmacıları tarafından tanımlanan AuKill, SentinelOne ve Sophos dahil olmak üzere belirli EDR çözümlerini hedeflemek ve etkisiz hale getirmek için tasarlanmış gelişmiş bir kötü amaçlı yazılımdır. Damlalık olarak dağıtılan AuKill, PROCEXP.SYS (Process Explorer yayın sürümü 16.32’den) adlı savunmasız bir sürücüyü sistemin C:WindowsSystem32drivers klasörüne bırakır. Bu kötü amaçlı yazılım, fidye yazılımı grupları tarafından uç nokta güvenlik önlemlerini atlamak ve Medusa Locker ve Lockbit gibi fidye yazılımı varyantlarını savunmasız sistemlere etkili bir şekilde yaymak için kullanıldı ve vahşi ortamda gözlemlendi.

Bu durumda SentinelOne, devre dışı bırakılmadan önce kötü amaçlı dosyaların çoğunu izole etmeyi başardı ve tam ölçekli bir fidye yazılımı olayını önledi. Sonuç olarak AT&T MXDR, veri hırsızlığı veya şifrelemesine dair hiçbir kanıt bulamadı. Buna rağmen, müşteri önlem olarak baskı sunucusunu yeniden oluşturmayı seçti. Bu çalışma, saldırının derinlemesine bir analizini sağlar ve gelecekteki saldırı riskini azaltmak için öneriler sunar.

Saldırının ilk aşaması araştırılıyor

ilk izinsiz giriş

Hedeflenen varlık, alışılmadık bulduğumuz baskı sunucusuydu. Bununla birlikte, daha ayrıntılı araştırmamızın ardından, yakın zamanda bir DC’den bir baskı sunucusuna dönüştürüldüğü için, saldırganın varlığı bir Etki Alanı Denetleyicisi (DC) olarak yanlış tanımladığı sonucuna vardık. Saldırganın AuKill’i başarıyla çalıştırmak ve varlıkta SentinelOne’ı devre dışı bırakmak için hem yerel yönetici kimlik bilgilerine hem de çekirdek düzeyinde erişime ihtiyacı vardı. Saldırgan, bu yerel yönetici kimlik bilgilerini elde etmek için bir yönetici hesabına başarılı bir şekilde kaba kuvvet uyguladı. Ele geçirme işleminden kısa bir süre sonra, bu hesabın yetkisiz kayıt defteri değişiklikleri yaptığı gözlemlendi.

Aukill için USM IOC'lerinin ekran görüntüsü

ioc için Aukill meta verileri

Bir sahil başı kurulması

Saldırganlar, yerel yönetici hesabını ele geçirdikten sonra, saldırılarının sonraki aşamaları için bir hazırlama alanı olarak “UsersAdministratorMusicaSentinel” klasörünü kullandılar. AuKill ile ilgili tüm ikili dosyalar ve komut dosyaları, kötü niyetli faaliyetlerini gizlemeye yardımcı olan zararsız “Müzik” klasör adıyla bu yoldan yürütüldü.

görünüşte masum Müzik dosyası - masum değil!

AuKill kötü amaçlı yazılımının, SentinelOne varyantında “aSentinel.exe” ve “aSentinelX.exe” adlı iki Windows hizmetini kullanarak çalıştığı tespit edildi. Diğer varyantlarda, “aSophos.exe” ve “aSophosX.exe” gibi karşılık gelen Windows hizmetlerini kullanarak Sophos gibi farklı EDR’leri hedefler.

Aukill hafifletildi - karantinaya alın

Kalıcılık oluşturmak

Ayrıca “C:Windowssystem32″den çalışan “aSentinel.exe” keşfettik, bu da saldırganların güvenliği ihlal edilmiş sunucuda bir dayanak oluşturmaya çalıştığını gösteriyor. Kötü amaçlı yazılım yazarları, güvenilir bir konum olduğu için sıklıkla system32 klasörünü hedefler ve güvenlik yazılımı, içindeki dosyaları diğer konumlardakiler kadar yakından incelemeyebilir. Bu, kötü amaçlı yazılımın güvenlik önlemlerini atlamasına ve gizli kalmasına yardımcı olabilir. Kötü amaçlı yazılımın başlangıçta “UsersAdministratorMusicaSentinel” dizinine yerleştirilmiş olması ve daha sonra kalıcı olması için system32 dizinine kopyalanmış olması muhtemeldir.

Aukill ısrarcılığını nasıl sürdürüyor?

Ağ keşfi

Araştırmamız ayrıca, daha önce Dharma gibi fidye yazılım olaylarında istismar edilen, herkesin erişebileceği bir yardımcı program olan PCHunter’ın “UsersAdministratorMusicaSentinel” dizininden çalıştığını ortaya çıkardı. Bu, saldırganların EDR öldürücü kötü amaçlı yazılımı dağıtmadan önce müşterinin ağını araştırmak için PCHunter’ı bir keşif aracı olarak kullandığını gösteriyor. Ek olarak PCHunter, tehdit aktörlerinin programları sonlandırmasına ve doğrudan saldırganın gereksinimleriyle uyumlu olan Windows çekirdeğiyle arabirim oluşturmasına olanak tanır. PCHunter’ın aşağıda gösterildiği gibi birkaç rastgele adlandırılmış .sys dosyası oluşturduğunu gözlemledik:

Aukill keşif için PCHunter kullanıyor

Veri kurtarmayı önleme

Saldırganın baskı sunucusundan gölge birim kopyalarını sildiğini tespit ettik. Windows, veri kaybı durumunda dosyaları ve klasörleri önceki sürümlere geri yüklemek için bu kopyaları oluşturur. Saldırgan, gölge kopyaları kaldırarak müşterimizin başarılı bir şekilde şifrelenmiş dosyaları kurtarmasını zorlaştırmaya çalışıyordu. Hiçbir fidye yazılımı dağıtılmamış olsa da, gölge kopyaların silinmesi saldırganların niyetini ortaya koyuyor. Bu bilgi, PCHunter kullanımı ve EDR öldürücü kötü amaçlı yazılımın evrelemesiyle birlikte, saldırganın hedeflerinin ve taktiklerinin daha eksiksiz bir resmini çiziyor.

Yerel Windows korumasını atlamak

Tüm bu parçalar yerindeyken, saldırganın en son çekirdek düzeyinde erişim elde etmesi gerekiyordu. Saldırganın yönetici haklarını erkenden kazanmasına rağmen, şu anda SentinelOne’ı öldürmek için sistem üzerinde yeterli kontrole sahip değildi. EDR çözümleri, Windows tarafından temel olarak sınıflandırılır ve ayrıcalıkları yükselttiklerinde saldırganlar tarafından kapatılmaya karşı korunur. Saldırganın bu korumaları başarılı bir şekilde atlatması için işletim sisteminde bir seviye daha derine inmesi ve makineye çekirdek düzeyinde erişim sağlaması gerekir.

Saldırının ikinci aşaması araştırılıyor

Savunmasız sürücüyü bırakma

Ekibimiz, AuKill’in mevcut Process Explorer sürücüsü PROCEXP152.sys’yi C:WindowsSystem32drivers dizininde bulunan PROCEXP.SYS (Process Explorer sürüm 16.32’den) adlı eski ve savunmasız bir sürümle değiştirdiğini keşfetti. Aşağıdaki alarm ekran görüntüsü, AuKill’in mevcut sürücüyü bu eski sürümle nasıl değiştirdiğini ve sistemi daha fazla istismara açık hale getirdiğini göstermektedir.

USM ekranı - Aukill iyileştirmesinin ikinci aşaması

Windows, çekirdek modu sürücülerinin çalıştırılmadan önce geçerli bir kod imzalama yetkilisi tarafından imzalanmasını sağlayan Sürücü İmzası Zorunluluğu adlı bir güvenlik özelliği içerir. Saldırganlar, bu güvenlik önlemini aşmak için daha önceki bir tarihte Microsoft tarafından üretilen ve imzalanan güvenli olmayan PROCEXP.SYS sürücüsünü kullandı. Aşağıdaki SentinelOne ekran görüntüsünde gösterildiği gibi, sürücü Microsoft tarafından imzalanmış ve doğrulanmıştır. Ayrıca kaynak işlem, SentinelOne’ı devre dışı bırakmak için oluşturulmuş bir yürütülebilir dosya olan aSentinel.exe idi.

aukill iyileştirme

Çekirdek düzeyinde erişim elde etme

Microsoft’un Sysinternals ekibi tarafından geliştirilen meşru bir sistem izleme aracı olan Process Explorer, yöneticilerin uygulamaların devam eden süreçlerini ve bunlarla ilişkili iş parçacıklarını, tanıtıcıları ve DLL’leri incelemesine ve yönetmesine olanak tanır.

Başlatma sırasında Process Explorer, donanım ve kaynakların yönetiminden sorumlu olan sistemin çekirdeği ile etkileşimi kolaylaştıran imzalı bir çekirdek modu sürücüsü yükler. Normalde bu sürücü PROCEXP152.sys’dir. Saldırgan, baskı sunucusundaki PROCEXP152.sys sürücüsünü istismar edilebilir PROCEXP.SYS ile değiştirdi ve BYOVD (Kendi Güvenlik Açığı Olan Sürücünüzü Getirin) saldırısı olarak bilinen saldırıyı kullandı. Saldırgan, SentinelOne’ı başarılı bir şekilde öldürmek için ihtiyaç duyduğu çekirdek düzeyinde erişimi elde etmek amacıyla artık savunmasız olan çekirdek modu sürücüsünden yararlanmak için bu yöntemi kullandı.

SentinelOne’ı Öldürmek

Process Explorer tarafından kullanılan çekirdek modu sürücüsü, yöneticiler tarafından bile erişilemeyen tanıtıcıları sonlandırmak için benzersiz bir yeteneğe sahiptir. Tanıtıcı, dosya veya kayıt defteri anahtarı gibi bir işlem tarafından açılan belirli bir kaynağa karşılık gelen bir tanımlayıcıdır. Bu noktada AuKill, özellikle baskı sunucusunda çalışan SentinelOne işlemleriyle ilişkili korumalı tutamaçları hedeflemek için Process Explorer’ın çekirdek sürücüsünü ele geçirdi. SentinelOne işlemleri, korunan işlem tanıtıcıları kapatıldığında öldürüldü ve bu da EDR’yi güçsüz kıldı. AuKill daha sonra bu EDR işlemlerinin devre dışı kalmasını ve devam etmemesini sağlamak için birkaç iş parçacığı oluşturdu. Her iş parçacığı belirli bir SentinelOne bileşeni üzerinde yoğunlaştı ve hedeflenen süreçlerin aktif olup olmadığını düzenli olarak kontrol etti. Öyle olsalardı, AuKill onları sonlandırırdı. SentinelOne yoldan çekilmişti ve artık saldırgan için bir engel değildi.

Cevap

Müşteri etkileşimi

Bu noktada, saldırgan varlığa ayrıcalıklı erişim elde etmiş, kötü amaçlı yazılımını dağıtmış ve uç nokta koruma çözümü SentinelOne’ı başarıyla sonlandırmıştır. Lockheed Martin tarafından geliştirilen Cyber ​​Kill Chain metodolojisine dayanarak, saldırganın artık başarıyla “Komuta ve Kontrol” aşamasına ulaştığı sonucuna varabiliriz. Ancak, SentinelOne herhangi bir ek hasarı önlemek için fidye yazılımı dağıtımını, öldürülmeden önce yeterince kesintiye uğratmayı başardığından, saldırgan “Hedeflere Yönelik Eylemler” aşamasına ulaşmadı.

EDR’nin devre dışı bırakılmasının ardından kötü amaçlı yazılımı yeniden dağıtma veya yatay olarak hareket etme girişimleri, müşteriyi etkinlik konusunda hızlı bir şekilde uyaran ve varlığın çevrimdışına alınmasını ve ağın geri kalanından izole edilmesini tavsiye eden ekibimiz tarafından engellendi. Ekibimiz müşteriye gölge kopyaların silindiğini ve baskı sunucularında SentinelOne’ın kapatıldığını bildirdi. Tehdit avcılarımıza ortamlarını kapsamlı bir şekilde gözden geçirdikten sonra, müşteriye hiçbir hassas bilginin dışarı sızmadığı veya şifrelenmediği konusunda güvence verdik. Saldırıya yanıt olarak istemci, baskı sunucusunu yeniden oluşturmak ve SentinelOne’ı yeniden yüklemek için harekete geçti.

öneriler

EDR yazılımını atlatmaya yönelik BYOVD saldırıları yaygınlaştıkça, kötüye kullanım geçmişi olduğu bilinen eski sürücülerin kara listeye alınmasını önemle tavsiye ederiz. Ayrıca, müşterilerimizi sistemlerinde yüklü sürücülerin bir envanterini tutarak güncel ve güvenli kalmalarını sağlamaya teşvik ediyoruz. Son olarak, kaba kuvvet saldırılarına karşı savunma yapmak için yönetici hesaplarının güvenliğini artırmanızı öneririz, çünkü bu blog gönderisinde ayrıntılı olarak açıklanan olay, ilk ayrıcalıklı kullanıcı uzlaşması olmadan gerçekleşemezdi.

reklam



Source link