RansomHub, yakın zamanda TDSSKiller ve LaZagne’ı kullanarak, geleneksel olarak EDR sistemlerini devre dışı bırakmak için kullanılan TDSSKiller’ı ağ savunmalarını tehlikeye atmak için konuşlandıran yeni bir saldırı yöntemi denedi.
Daha sonra LaZagne, RansomHub’ın operasyonlarında benzeri görülmemiş bir şekilde, tehlikeye atılmış sistemlerden kimlik bilgilerini toplamak için kullanıldı ve CISA’nın son duyurusunda da belgelenmedi.
Saldırı dizisi, hedef ağa giriş noktalarının tespit edilmesi için yönetici grubu sayımını da içeren keşif faaliyetleriyle başladı.
Kötü amaçlı yazılım RansomHub, sistem güvenliğini tehlikeye atmak için Kaspersky tarafından geliştirilen meşru bir anti-rootkit aracı olan TDSSKiller’ı kullandı.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Sistemin güvenlik açıkları ve ayrıcalıkları değerlendirildikten sonra, fidye yazılımının güvenlik önlemlerinden önemli ölçüde etkilenmeden çalışabileceği daha elverişli bir ortam yaratmayı amaçlayan bir komut satırı betiği veya toplu iş dosyası çalıştırarak Malwarebytes Anti-Malware Hizmeti gibi önemli güvenlik hizmetlerini devre dışı bırakmak için TDSSKiller’ın yeteneklerinden yararlanıldı.
Saldırganlar, MBAMService’i hedef almak için -dcsvc bayrağıyla TDSSKiller’ı çalıştırdı ve muhtemelen kötü amaçlı yazılım korumasını engellemek amacıyla bu hizmeti devre dışı bırakmaya çalıştı.
Yürütülebilir dosya, rastgele oluşturulmuş bir dosya adına sahip geçici bir dizinden çalıştırıldı; bu, güvenlik önlemlerini atlatmaya ve sistemde kalıcılık kazanmaya çalışan kötü amaçlı yazılımlarda yaygın olarak görülen tespit edilmekten kaçınma girişimini gösteriyor.
LockBit fidye yazılımı çetesi, Windows hizmetlerini silmek için TDSSKiller’ın “-dcsvc” parametresini kullanıyor ve bu sayede kayıt defteri anahtarlarını ve ilişkili yürütülebilir dosyaları etkin bir şekilde kaldırıyor; bu da Windows Defender Antimalware Client gibi güvenlik yazılımlarının fidye yazılımı saldırısını tespit etme ve azaltma yeteneğini engelliyor.
Saldırganlar, belirli servisleri hedef alarak kritik sistem fonksiyonlarını bozabilir ve başarılı veri şifrelemesi olasılığını artırabilir.
TDSSKiller.exe, SHA-256 karması, MD5 karması ve dosya boyutu gibi benzersiz tanımlayıcıları olan ve onu tespit edip engellemek için kullanılabilen kötü amaçlı bir yürütülebilir dosyadır.
Dosyanın, gelişmiş anti-algılama teknikleriyle bilinen ve bilgisayar sistemlerini tehlikeye atma yeteneği bulunan TDSS rootkit’inin bir parçası olması muhtemel. Bu nedenle, bu dosyayı sistemden kaldırmak ve daha fazla hasarı önlemek için derhal harekete geçmek önemlidir.
Güvenlik açığından yararlanan RansomHub, hassas veritabanı kimlik bilgilerini çıkarmak için kimlik bilgisi toplama aracı olan LaZagne’ı kullanmaya çalıştı ve bu aracın yürütülmesi sonucunda 60 dosya yazıldı, büyük ihtimalle toplanan kimlik bilgileri depolandı ve izleri gizlemek için 1 dosya silindi.
Veritabanı kimlik bilgilerine erişim, RansomHub’a kritik altyapı üzerinde önemli bir kontrol sağlayabilir ve tehlikeye atılan ağ içinde ayrıcalık yükseltmeyi kolaylaştırabilirdi.
Sağlanan bilgiler, 467e49f1f795c1b08245ae621c59cdf06df630fc1631dc0059da9a032858a486 SHA-256 karma değerine, 9,66 MB dosya boyutuna ve 5075f994390f9738e8e69f4de09debe6 MD5 karma değerine sahip “LaZagne.exe.” adlı potansiyel olarak kötü amaçlı bir yürütülebilir dosyanın varlığını gösteriyor.
Dosya adı ve ilişkili karma değerler göz önüne alındığında, bu yürütülebilir dosyanın web tarayıcıları, e-posta istemcileri ve parola yöneticileri de dahil olmak üzere çeşitli kaynaklardan kimlik bilgilerini çıkarmak için tasarlanmış olması oldukça olasıdır; bu da onu önemli bir güvenlik tehdidi haline getirir.
Threat Down, fidye yazılımı savunmasını iyileştirmek ve EDR duruşunu sıkılaştırmak için riskli ve kimlik bilgisi hırsızı olarak işaretlenen güvenlik yazılımını (TDSSKiller) tespit etti ve şunları yaptı: BYOVD kontrolleri aracılığıyla savunmasız sürücü kullanımını (özellikle şüpheli bayraklarla birlikte TDSSKiller gibi) sınırlayın.
Ağ segmentasyonu aynı zamanda kritik sistemleri izole edebilir, saldırganların ağ içindeki yatay hareketi kısıtlayarak kimlik bilgilerini çalmaları halinde hassas verilere ulaşmalarını önleyebilir.
Hepsi Bir Arada Siber Güvenlik Platformuyla Siber Saldırı Senaryolarını Simüle Etme – Ücretsiz Web Seminerini İzleyin