Ocak 2025’in başlarında, Contacto olarak tanımlanan ve geleneksel güvenlik önlemlerini atlatmak için tasarlanmış gelişmiş teknikleri sergileyen yeni bir fidye yazılımı türü ortaya çıktı.
Bu analiz, özellikle fidye yazılımı analizine girişen profesyoneller için uygun olan operasyonel mekanizmalarına ilişkin bilgiler sağlar.
Operasyonel Mekanizmalar
Contacto fidye yazılımı yürütüldükten sonra şunları kullanır: GetConsoleWindow() Ve ShowWindow() komut istemini geri alma ve gizleme işlevlerine sahip olup yürütme sırasında gizliliği garanti eder.
adında bir muteks oluşturur. ContactoMutex kendisinin birden çok örneğinin aynı anda çalışmasını önlemek için.
Contacto, virüslü sistem üzerindeki kontrolünü en üst düzeye çıkarmak için ayrıcalıkları yükseltir.
Aşağıdakiler gibi önceden tanımlanmış bir güvenlik ayrıcalıkları listesi aracılığıyla yinelenir: SeDebugPrivilege Ve SeTakeOwnershipPrivilege ve şunu kullanır: SetPrivileges() aracılığıyla bu hakları etkinleştirme işlevi AdjustTokenPrivileges API’dir.
Bu yükseltme, fidye yazılımının sistem dosyalarını ve ayarlarını etkili bir şekilde değiştirmesine olanak tanır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Şifreleme Süreci
Contacto, dosya şifrelemenin verimliliğini artıran yenilikçi bir iş parçacığı modeli kullanır.
Sistem, kullanılabilir işlemcilerin sayısını belirleyerek iki kat daha fazla iş parçacığı oluşturur ve bu da akıcı bir iş akışını kolaylaştırır.
Her iş parçacığına, dosya erişimine ayrılmış bir çalışan işlevi yürütmekle görev verilir.
Bu tasarım, hataların titizlikle ele alınması yoluyla sıralı erişim ve değişiklik hakları sağlar, böylece kesinti riskini en aza indirir ve kaynak kullanımını optimize eder.
Şifreleme süreci, Contacto’nun iki şifreleme anahtarı ürettiği dinamik anahtar üretimiyle başlar: birincil anahtar (32 bayt) ve ikincil anahtar (8 bayt).
Bu anahtarlar, güçlü bir rastgelelik temeli sağlayan hibrit bir rastgele sayı üreteci kullanılarak oluşturulur.
Güvenliği daha da artırmak için anahtarlar, her dosyanın benzersiz bir anahtar kombinasyonuyla şifrelenmesini garanti eden yinelemeli SHA-256 turları aracılığıyla karma işlemine tabi tutulur.
Araştırmaya göre bu yaklaşım, şifreleme sürecinin güvenliğini önemli ölçüde artırarak olası şifre çözme girişimlerine karşı dayanıklı hale getiriyor.
Contacto, iş parçacığı oluşturma ve anahtar oluşturma stratejilerine ek olarak yığın tabanlı bir şifreleme yöntemi kullanır.
Sistem, dosyaların tamamını şifrelemek yerine, üstbilgiler ve altbilgiler gibi belirli bölümlere odaklanır ve sistemin performans yeteneklerine ve dosyaların boyutuna göre uyarlanmış uyarlanabilir yığın boyutlarını kullanır.
Bu hedefe yönelik yaklaşım yalnızca şifreleme sürecini hızlandırmakla kalmaz, aynı zamanda bir dereceye kadar dosya bütünlüğünün korunmasına da yardımcı olur ve kurtarma çalışmalarını yetkisiz kullanıcılar için daha karmaşık ve zorlu hale getirir.
İçeriği korurken performansı optimize eden Contacto, şifreleme prosedürlerinde güvenlik ve verimliliği etkili bir şekilde dengeler.
Fidye yazılımının son eylemleri arasında, kayıt defteri manipülasyonu yoluyla Windows Defender’ın devre dışı bırakılması ve kurtarma girişimlerini engellemek için yedek kopyaların silinmesi gibi sistem yapılandırmalarının değiştirilmesi yer alıyor.
Ek olarak, duvar kağıdını fidye notu görüntüleyecek şekilde değiştirerek kurbanın masaüstünde görsel bir değişiklik gerçekleştirir.
Contacto fidye yazılımı, sisteme sızma, veri şifreleme ve gizli operasyonlar için gelişmiş teknikler kullanan karmaşık bir tehdidi temsil ediyor ve bu da onu sürekli siber güvenlik dikkat ve analizi için kritik bir konu haline getiriyor.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri