Trend mikro araştırmacıları, Orta Doğu’daki kamu sektörünü ve havacılık endüstrisini hedefleyen sofistike bir kampanyada konuşlandırılan Charon adlı yeni bir fidye yazılımı ailesini ortaya çıkardılar.
Bu işlem, Swordldr olarak bilinen kötü amaçlı bir msedge.dll yükleyici yüklemek için meşru bir Edge.exe ikili (orijinal olarak cookie_exporter.exe) aracılığıyla DLL sideloading dahil olmak üzere gelişmiş kalıcı tehdit (APT) tarzı teknikler kullanır.
Orta Doğu operasyonlarında Charon’un keşfi
Yükleyici, çok katmanlı yükler içeren dumpstack.log adlı bir dosyada gizlenmiş şifreli bir kabuk kodunu şifresini çözer.
Adli analiz, ilk şifre çözme katmanının svchost.exe’ye enjeksiyonu belirten yapılandırma verilerini ortaya koyduğunu ve kötü amaçlı yazılımın meşru bir Windows hizmeti olarak maskelenmesini ve uç nokta güvenliğinden kaçınmasını sağladığını ortaya koydu.
İkinci bir şifre çözme katmanı, Charon uzantısını eklerken dosyaları şifrelemeye devam eden Charon’un nihai taşınabilir yürütülebilir (PE) verilir.
Kurban organizasyonunu ismine göre atıfta bulunan özelleştirilmiş fidye notu, şifreli kabuk kodu teslimatını içeren örtüşen araç zincirleri nedeniyle Dünya Baxia kampanyalarıyla potansiyel bağlarla, paylaşılan altyapı kanıtı olmadan zor olmaya devam ediyor.
Kaçınma Mekanizmaları
Charon, şifreleme ve kaçınma rutinlerinde yüksek derecede sofistike sergiler. Yürütme üzerine, hata günlüğü için –debug, ağ paylaşımlarını hedeflemek için (Yönetici $ hariç)-belirli yerel veya sürücü şifreleme için hurlar ve yerel sürücüler üzerindeki paylaşımlara öncelik vermek için –SF gibi komut satırı bağımsız değişkenlerini işler.
Birden fazla örneği önlemek için Oopscharonhere adlı bir muteks oluşturur, daha sonra güvenlik ile ilgili süreçleri ve hizmetleri sonlandırarak, COM arabirimleri aracılığıyla gölge kopyalarını silerek ve geri dönüşüm kutusunu boşaltarak savunmaları bozar.
Mevcut işlemci çekirdeklerine dayalı çok işlevsellikten yararlanan Charon, anahtar değişimi için bir hibrit şema kullanarak şifrelemeyi hızlandırır.
32 baytlı rastgele özel anahtar, 256 bit ChaCha20 başlatma vektörü üreten gömülü sert kodlanmış bir anahtarla paylaşılan bir sır türeten genel bir anahtar oluşturur.
Şifreleme verimlilik için kısmidir: 64KB altındaki dosyalar, 64KB-5MB için üç parça, 5MB-20MB için beş ve her biri kurbanın genel anahtarını ve metadatını içeren 72 baytlı bir fotya ile eklenen daha büyük dosyalar için stratejik olarak yerleştirilmiş yedi parçalar için dolu.
Özellikle, .exe, .dll, .charon dosyalarını ve kendi fidye notunu “Files.txt’inizi nasıl geri yükleyebilirsiniz” notunu atlar. Charon ayrıca NetShareenum ve WNetenumResource aracılığıyla ağ paylaşımlarını tarar ve şifreler, yanal yayılımı artırır.
İkili içine gömülü, bu varyantta aktif olmayan kalmasına rağmen, uç nokta algılama araçlarını devre dışı bırakmak için WWC.SYS olarak dağıtılmayı amaçlayan, kamu karanlık öldürme projesinden bir anti-EDR sürücüsü bulunur.
Bu fidye yazılımının hızlı şifreleme ile APT taktikleri füzyonu, veri kaybı, çalışma kesinti süresi ve özel taleplerle finansal gasp dahil olmak üzere ciddi riskler oluşturmaktadır.
Kampanyanın gizliliği, yan yükleme ve enjeksiyon yoluyla, fidye yazılımı operatörlerinin geleneksel savunmaları atlamak için proses oyma ve EDR anti yükler gibi kaçınma yöntemlerini benimsedikleri bir eğilimi vurgulamaktadır.
Kuruluşlar, yedeklemelerin silinmesiyle güçlendirilen potansiyel veri pessfiltrasyonu ve kurtarma zorluklarından kaynaklanan bileşik tehditlerle karşı karşıyadır.
Charon’a karşı koymak için güvenlik ekipleri katmanlı savunmaları uygulamalıdır: savunmasız dizinlerde DLL yüklemesini kısıtlamalı, Edge.exe Yumurtlama Svchost.exe gibi imzalı ikili dosyaları içeren anormal süreç zincirlerini izlemeli ve EDR çözümlerinin kurcalamaya direnmesini sağlayın.
Güçlü kimlik doğrulama yoluyla yanal hareketin sınırlandırılması, gereksiz yönetici hisselerini devre dışı bırakma ve çevrimdışı değişmez yedeklemelerin korunması esastır.
Kimlik avı kaçınma ve en az müstehcen erişimi ile ilgili kullanıcı eğitimi, ilk uzlaşma risklerini daha da azaltırken, IOC’leri kullanarak proaktif tehdit avı saldırıları önleyebilir.
Fidye yazılımı uygun yakınsama doğru geliştikçe, işletmeler bu artan siber tehditleri azaltmak için entegre zeka ve yanıt çerçeveleri ile esnekliğe öncelik vermelidir.
AWS Security Services: 10-Point Executive Checklist - Download for Free