TDSSKiller, Kaspersky Lab tarafından geliştirilen ve etkilenen sistemdeki diğer kötü amaçlı yazılımların varlığını gizleyebilen bir kötü amaçlı yazılım türü olan rootkit’leri tespit etmek ve kaldırmak için tasarlanmış ücretsiz bir yardımcı programdır. TDSS gibi rootkit’leri hızla tespit etmek ve kaldırmak için güçlü bir ücretsiz araçtır.
Siber güvenlik araştırmacıları ThreatDown, yakın zamanda EDR’yi devre dışı bırakmak için Kaspersky’nin TDSSKiller’ını öldüren yeni bir RansomHub saldırısı keşfetti.
Kaspersky’nin TDSSKiller’ını Öldürmek
RansomHub fidye yazılımı çetesinin kullandığı yeni saldırı stratejisi iki araçtan yararlanıyor:
Kaspersky’nin meşru bir rootkit temizleme aracı olan ve uç nokta algılama ve yanıt (EDR) sistemlerini devre dışı bırakmak için yeniden tasarlanmış TDSSKiller. Kimlik bilgilerini toplamak için LaZagne kullanılır.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Saldırı, “net1 group ‘Enterprise Admins’ /do” gibi komutlar kullanılarak yönetici grubunun numaralandırılmasını içeren ağ keşfi ile başlatılıyor.
Bunu takip ederken RansomHub, Malwarebytes Anti-Malware Service (MBAMService) gibi kritik güvenlik hizmetlerini devre dışı bırakmaya çalışır. Burada bunu komut satırı betikleri veya toplu iş dosyaları aracılığıyla TDSSKiller kullanarak yapar.
Elbette bu taktik ve araçları kullanmak RansomHub için oldukça yeni bir durum, zira daha önce Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) RansomHub’ın faaliyetleri hakkında yayınladığı son duyuruda bu konu daha önce açıklanmamıştı.
Ancak araştırmacılar, TDSSKiller ve LaZagne kullanımının yeni olmadığını ve yıllar boyunca birçok tehdit aktörü tarafından istismar edildiğini söyledi.
Bu tür araçların RansomHub’ın faaliyetlerinde ilk kez kullanılması, grubun saldırı ve taktiklerinde değişiklik olduğunun bir göstergesi.
Sistemi tehlikeye atmak için tehdit aktörleri çok adımlı bir yaklaşım benimsedi.
Başlangıçta, meşru anti-rootkit aracı olan “TDSSKiller” tehdit aktörleri tarafından geçici bir dizinden (C:\Users) “tdsskiller.exe -dcsvc MBAMService” komutuyla çalıştırılır.
Aynı taktik LockBit fidye yazılımı saldırılarında da gözlemlendi. Bu saldırılarda, hedeflenen hizmetle ilişkili kayıt defteri anahtarlarını ve yürütülebilir dosyaları kaldırır.
Daha sonra, veritabanı kimlik bilgilerini özel olarak çıkarmak için “LaZagne.exe database” komutunu kullanan “LaZagne” adlı bir kimlik bilgisi toplama aracı konuşlandırdılar.
LaZagne’nin infazı sonucunda 60 dosya yazıldı (muhtemelen çıkarılan kimlik bilgilerinin kayıtları) ve 1 dosya silindi (muhtemelen izlerini ve bulgularını örtmek için).
Bu iki saldırının amacı güvenlik önlemlerini devre dışı bırakmak ve hassas kimlik bilgilerine erişim sağlamak, böylece ağ içinde yatay hareket imkanı sağlamak ve kritik sistemlere erişim sağlamaktı.
Azaltma önlemleri
Aşağıda tüm hafifletme önlemlerinden bahsettik:
- Bring Your Own Vulnerable Driver (BYOVD) istismarlarını kısıtlayın
- Kritik sistemleri izole edin
Hepsi Bir Arada Siber Güvenlik Platformuyla Siber Saldırı Senaryolarını Simüle Etme – Ücretsiz Web Seminerini İzleyin