Killer Ultra zararlı yazılımının, fidye yazılımı saldırılarında Symantec, Microsoft ve Sentinel One’ın uç nokta algılama ve yanıt (EDR) araçlarını hedef aldığı tespit edildi.
Killer Ultra tüm Windows olay günlüklerini toplar, bunları tamamen temizler ve çekirdek düzeyinde izinler alır.
ARC Labs bu kötü amaçlı yazılımı “Killer Ultra” olarak sınıflandırdı. Killer Ultra, EDR/AV işlemlerini öldürmek için bilinen Zemana sürücüsünü kullanıyor, ancak uzmanlar, savunmaları zayıflatmaktan başka amaçlar için de kullanılabileceğini gösteren başka özellikler buldular.
Güvenlik Açığı İstismarı
Killer Ultra, keyfi işlem sonlandırma için CVE-2024-1853’ü kullanan Zemana AntiLogger’ın güvenlik açığı olan bir sürümünü içerir.
Zemana AntiLogger v2.74.204.664 sürümünde, CVE-2024-1853 olarak tanımlanan Keyfi İşlem Sonlandırma ile ilgili bir güvenlik açığı keşfedildi.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files
Bu güvenlik açığı, bir saldırganın antivirüs veya EDR yazılımı gibi hayati güvenlik süreçleri de dahil olmak üzere süreçleri keyfi olarak sonlandırmasına olanak tanır. Zemana AntiLogger sürücülerinin 0x80002048 IOCTL kodunu kullanır.
“SpyBoy” takma adını kullanan bir tehdit aktörü, bu güvenlik açığını Mayıs 2023’te “EDR öldürücü” bir araç olarak tanıtılan “Terminator” adlı bir araca ekledi.
Terminator, hedeflediği sistemlerdeki güvenlik çözümlerini devre dışı bırakmak ve CVE-2024-1853’ü istismar etmek için güvenli olmayan Zemana AntiLogger sürücüsünü kullanır.
SpyBoy, Rus hacker forumlarında bu aracı tanıtıp satışa sundu; özel antivirüs atlamaları için 300 dolar, hepsi bir arada bir çözüm için ise 3000 dolar talep etti.
Killer Ultra Malware’in Teknik Yetenekleri
Katil Ultra yüksek düzeyde karmaşıklıkla çalışır, EDR araçlarını etkili bir şekilde etkisiz hale getirmek için çekirdek düzeyindeki izinlerden yararlanır. Kötü amaçlı yazılımın birincil teknikleri şunlardır:
- İşlem Sonlandırma: Killer Ultra, yaygın güvenlik araçlarıyla ilişkili işlemleri sonlandırarak onları etkisiz hale getirebilir.
- Olay Günlüğü Temizleme: Kötü amaçlı yazılım, olay günlüklerini temizleyerek güvenlik ekiplerinin faaliyetlerini izlemesini zorlaştırıyor.
- Sürücü Sömürüsü: Kötü amaçlı yazılım, sürücülerdeki güvenlik açıklarını kullanarak enfekte sistemlere daha derin erişim ve kontrol sağlıyor.
- Kalıcılık Mekanizmaları: Tehlikeye maruz kalan sistemlerde kalıcılığını sürdürmek için çeşitli yöntemler kullanır ve böylece yeniden başlatmalara ve onu kaldırmaya yönelik diğer girişimlere karşı dayanıklı olmasını sağlar.
- Gösterge Kaldırma: Killer Ultra, tehlike göstergelerini ortadan kaldırmada ustadır ve geleneksel güvenlik önlemleri tarafından tespit edilmesini önler.
- Kullanım Sonrası Yetenekler: Kötü amaçlı yazılım, ilk ihlalden sonra daha fazla istismara yönelik özellikler içerebilir; örneğin veri sızdırma veya ağlar içinde yatay hareket etme gibi.
Binary Defense’in gönderisinde, “Killer Ultra, Kernel düzeyinde izinleri elde ediyor ve uç nokta güvenlik araçlarını hedef alıyor: Symantec Antivirus, Microsoft Windows Defender, SentinelOne ve Microsoft Defender for Endpoint” ifadeleri yer alıyor.
.webp)
Sürücüyü yükledikten ve hizmeti başlattıktan sonra, Killer Ultra önceden tanımlanmış bir listedeki güvenlik ürünlerini devre dışı bırakır. Güvenlik araçlarının listesi, 3 ile kodlanmış XOR işlem adları tarafından tanımlanır.
Kötü amaçlı yazılım işlem adında bir eşleşme tespit ettiğinde, Killer Ultra etkin işlemleri kontrol ediyor ve işlemi çekirdek düzeyindeki izinlerle sonlandırıyor.
Ayrıca, EtwEventWrite’ın NTDLL içindeki ayrıcalıklarını değiştirerek Killer Ultra, uç nokta güvenlik araçlarını daha fazla aldatmaya çalışır ve Killer Ultra işlemleriyle bağlantılı ETW olaylarının yazılmasını önleyebilir.
ARC Labs, kötü amaçlı yazılımın bu görevleri yerine getirme yeteneğini doğrulasa da, bunun kötü amaçlı yazılımın eylemlerini uç nokta güvenlik sistemlerinden gizlemede gerçekten işe yarayıp yaramadığı belirsiz.
Sistem yeniden başlatıldıktan sonra güvenlik programlarının tekrar çalışmasını önlemek için Killer Ultra, sistem başlangıcında yürütülecek “Microsoft Security” ve “Microsoft Maintenance” başlıklı iki zamanlanmış görev oluşturur.
Her iki görev de Killer Ultra’yı şu yoldan başlatacak şekilde yapılandırılmıştır: C:\ProgramData\Microsoft\SystemMaintainence\Maintainence.exe.
Killer Ultra, ana fonksiyonda belirtilen StartAddress adlı bir alt yordama sahiptir. Amacı, Windows Olay Günlüklerini kaldırmak için “wevtutil.exe” yardımcı programını kullanarak uzlaşma göstergelerini ortadan kaldırmaktır.
Killer Ultra, tüm Windows Olay Günlüklerini çalıştırmak ve silmek için “cmd.exe” aracılığıyla “wevtutil.exe”yi çağırır.
Araştırmacılar, “Killer Ultra’nın istismar sonrası bir araç olarak çalışmasını sağlayabilecek kod içindeki etkin olmayan işlevler. Bu yetenekler şu anda etkin olmasa da, bu kod bölümleri kötü amaçlı yazılımın gelecekteki sürümlerinde etkinleştirilebilir” uyarısında bulunuyor.
Killer Ultra’nın bu analizi, kuruluşların tüm özelliklerini anlamalarına ve tespit ve yanıt planlarına rehberlik edecek taktiksel tehdit istihbaratı sunmalarına yardımcı olacaktır.
“Sisteminiz Saldırı Altında mı? Cynet XDR’yi deneyin: Uç Noktalar, Ağlar ve Kullanıcılar için Otomatik Algılama ve Yanıt!” – Ücretsiz Demo