Windows cihazları söz konusu olduğunda, fidye yazılımı grupları büyük ölçüde denenmiş ve test edilmiş yolları kullanma eğilimindedir. Yükünü dağıtmak ve yürütmek için eski bir MSDTC hizmeti DLL kaçırma tekniğini kullanan yeni giriş yapan CatB fidye yazılımını ele alalım.
CatB, örnekleri Aralık 2022’ye kadar uzanan nispeten yenidir. Ancak, Fortiguard Labs araştırmacıları, Kasım 2022’ye kadar uzanan ve tehdit aktörüyle ilgili olabilecek ek örneklerin keşfedildiğini belirtti.
Yerleşik oyuncuların aksine, CatB tehdit aktörü, kurbanların erişmesi için bir web portalı sunmaz. Bunun yerine, iletişim bilgilerini yalnızca fidye notundaki bir e-posta adresi aracılığıyla sunarlar. Şu an itibariyle, kötü amaçlı yazılım operatörlerinin bir Hizmet Olarak Fidye Yazılımı modelini kullandıklarına dair bir gösterge yok.
“CatB, bir Microsoft Windows Dinamik Bağlantı Kitaplığı (.dll) dosyasına paketlenmiş bir damlalık kullanır. Damlalık içinde, kurbanın makinesindeki dosyaları şifrelemekten sorumlu yükü içeren ikinci bir .dll dosyası var” dedi. müstahkem rapor.
“CatB’nin bu özel sürümü, yükün kodunu yürütmek için DLL yandan yüklemeyi kullanır. DLL yandan yükleme, kötü amaçlı bir DLL dosyasını güvenilir bir yürütülebilir dosyayla aynı dizine yerleştirir. Yürütülebilir dosya aynı ada sahip bir DLL yüklemeye çalıştığında, bunun yerine saldırganın DLL’si yüklenir.”
CatB fidye yazılımı, Windows ve DLL kaçırma
CatB damlalığı, tespit edilmekten kaçınmak için üç anti-VM/sandbox kaçırma tekniği kullanır. tehdit analiz raporu siber güvenlik firması Minerva tarafından.
İlk teknik, bir işlemci çekirdeği kontrolünü içerir. Günümüzde gerçek bilgisayarların tipik olarak en az iki işlemcisi olduğundan, fidye yazılımı GetSystemInfo API işlevi aracılığıyla sistem bilgilerini alarak CPU çekirdeği sayısını kontrol eder.
İkiden az işlemci varsa, şu anda bir sanal alanda bulunduğunun sinyalini vererek yürütmeden çıkacaktır.
İkinci teknik, toplam fiziksel bellek kontrolünü içerir. CatB fidye yazılımı, fiziksel bellek boyutunu kontrol ederek sanal makineleri ve korumalı alanları algılar. GlobalMemoryStatusEx API işlevini kullanarak fiziksel ve sanal bellek hakkında bilgi alır.
Makinenin 2GB’tan daha az fiziksel belleği varsa, fidye yazılımı sanal bir ortamda olduğunu belirterek kontrol edecek ve çıkacaktır.
Üçüncü teknik, makinenin sabit disk boyutunu kontrol etmektir. Kötü amaçlı yazılım, DeviceIoControl API işlevini kullanarak ve ‘0x70000’ parametresini dwIoControlCode parametresi olarak ileterek makinenin sabit disk boyutunu kontrol ederek makinenin çalışmaya devam edip etmeyeceğini belirleyebilir.
CatB fidye yazılımı, yalnızca sabit disk boyutu en az 50 GB olan bir makinede çalışır.
Fortiguard Labs raporu, “CatB, şifrelenecek dosyaları yalnızca “C:\” sürücüsünün ötesinde arar ve ‘I’ye kadar ek takılı sabit sürücü birimlerini sıralar,” dedi.
“Fidye yazılımı, olası bir kurtarmayı önleyecek (ve böylece fidye ödemek için herhangi bir nedeni ortadan kaldıracak) işlevsel bir sistem dosyası olarak kabul edilebilecek hiçbir şeyi şifrelemeyecektir.”
Normal fidye yazılımı çetesi MoD’den farklı olarak bu tehdit grubu, kullanıcının masaüstü gibi bariz konumlara fidye notu dağıtmaz. Bunun yerine, her şifrelenmiş dosyanın fidye notu dosyanın başına eklenir, rapor eklendi.
DLL kaçırma tam olarak nedir?
DLL ele geçirme, tehdit aktörleri tarafından güvenlik kontrollerini atlamak ve bir kurbanın makinesinde kötü amaçlı kod yürütmek için kullanılan sinsi bir tekniktir. Saldırganlar, doğrudan kötü amaçlı kodu çalıştırmak yerine, kötü amaçlı bir DLL dosyasını yüklemek için meşru bir uygulama kullanır.
Bu yaklaşım, kötü amaçlı kodun uygulama izin verilenler listesinden veya diğer otomatik güvenlik denetimlerinden kaçmasına yardımcı olabilir. Ek olarak, süreç incelendiğinde yalnızca meşru uygulamanın görünmesi, kötü niyetli etkinliğin tespit edilmesini zorlaştırmaktadır.
“DLL hırsızlığının yalnızca otomatik savunmalarla hafifletilmesinin zor olmasının bir nedeni, tekniğin düşmanlara uygulanmasında çok fazla esneklik ve değişkenlik sunmasıdır. Ve böylece, defans oyuncusu ile rakip arasındaki kedi-fare oyunu devam ediyor,” dedi bir Crowdstrike analiz geçen yıl yayınlanan teknik.