Yeni Taklit Fidye Yazılımı Windows Arama Motorunu Kötüye Kullanıyor


Fidye Yazılımlarını Taklit Eden Windows Aramayı Kötüye Kullanıyor

Mimic adlı yeni bir fidye yazılımı türü, Haziran 2022’de Trend Micro’daki güvenlik uzmanları tarafından yakın zamanda ortaya çıkarıldı. Mimic, şifrelenecek dosyaları aramak için Windows için bir dosya arama aracı olan ‘Everything’ API’lerinden yararlanır.

Kötü amaçlı yazılımın ana hedefi İngilizce veya Rusça konuşan kullanıcılar gibi görünüyor. Mimic’teki bazı kodlar ile kaynağı Mart 2022’de Ukraynalı bir araştırmacıya sızdırılan Conti’de bulunan kod arasında benzerlikler var.

Mimic, gölge kopyaların ortadan kaldırılması, çeşitli uygulama ve hizmetlerin kapatılması ve Everything32’den yararlanılması gibi çeşitli yeteneklere sahip gelişmiş bir kötü amaçlı yazılımdır.[.]dll, şifreleme için dosyaları tanımlama işlevi görür.

Taklit Fidye Yazılımı Bileşenleri

Bir Mimic fidye yazılımı saldırısının ilk aşaması, kurbanın muhtemelen e-posta yoluyla yürütülebilir bir dosya almasını içerir. Yürütülebilir dosya, hedef sistemde aşağıdakileri içeren toplam dört dosyayı ayıklar:

DÖRT

  • ana yük
  • yardımcı dosyalar
  • Windows Defender’ı devre dışı bırakmak için araçlar
Taklit Fidye Yazılımları Windows Engine’i Suistimal Ediyor

Mimic, komut satırı argümanlarını kullanarak belirli dosyaları hedefleyebilen ve birden çok işlemci iş parçacığı kullanarak verileri daha hızlı bir şekilde şifreleme yeteneğine sahip, yüksek düzeyde uyarlanabilir bir fidye yazılımı türüdür.

Aşağıda Mimic’in bileşenlerinden bahsetmiştik: –

  • 7 za[.]exe: Yükü ayıklamak için kullanılan meşru 7zip dosyası
  • Her şey[.]exe: Meşru Her Şey uygulaması
  • herşey32[.]dll: Meşru Her Şey uygulaması
  • herşey64[.]dll: Kötü amaçlı yükleri içeren parola korumalı arşiv

Mimik Yetenekleri

Yeni fidye yazılımı ailesinin sahip olduğu ve modern fidye yazılımı türlerinde görülen birkaç farklı yetenek vardır.

Aşağıda, Mimic fidye yazılımının tüm yeteneklerinden bahsetmiştik: –

  • Sistem bilgilerini toplama
  • RUN tuşu ile kalıcılık oluşturma
  • Kullanıcı Hesabı Denetimini (UAC) Atlama
  • Windows Defender’ı Devre Dışı Bırakma
  • Windows telemetrisini devre dışı bırakma
  • Kapatma önleme önlemlerinin etkinleştirilmesi
  • Ölüm önleme önlemlerinin etkinleştirilmesi
  • Sanal Sürücüleri Çıkarma
  • Süreçleri ve hizmetleri sonlandırmak
  • Uyku modunun devre dışı bırakılması ve sistemin kapatılması
  • Göstergeleri kaldırma
  • Sistem Kurtarmayı Engelleme

Mimik fidye yazılımı, güvenlik engellerini kaldırmak ve önemli bilgilere erişim elde etmek için süreçleri ve hizmetleri kapatma taktiği kullanır.

Mimik kötü amaçlı yazılım, ‘Everything32’yi kullanarak ‘Everything’ arama işlevini kullanır.[.]Belirli dosya adları ve türleri için virüslü sistemi taramak için ilk bulaşma sırasında dll’ dosyası düştü.

‘Everything’ kullanımı, Mimic’in şifrelemeye uygun dosyaları, sistemin önyüklenemez hale gelmesine neden olabilecek sistem dosyalarının kilitlenmesi riskini almadan belirlemesine olanak tanır.

Mimic’in algoritması tüm dosyaları titizlikle tarar, şifreleme için uygun olanları kesin olarak belirler ve başlatma sırasında sistemin arızalanmasına neden olabilecek tüm sistem dosyalarını ustalıkla atlar.

Aşağıda Mimic ransomware yapılandırmasını sunduk: –

Şifrelenmiş dosyalar söz konusu olduğunda, şifrelenmiş dosyaların dosya uzantısı “.QUIETPLACE” şeklindedir.

Fail, fidye notu olarak kilitli verilerin güvenli bir şekilde geri verilmesi karşılığında Bitcoin cinsinden ödeme talep eden ve işleme nasıl devam edileceğine dair talimatlar içeren bir mesaj bırakır.

Yeni bir varyant olan Mimic’in ortaya çıkışı, eylemleri açısından henüz tam olarak değerlendirilmedi, ancak Conti oluşturucunun ve Everything API’nin kullanılması, içerik oluşturucuların yetkin bir yazılım geliştirme uzmanlığına ve sağlam bir anlayışa sahip olduğunu gösteriyor. hedefleri.

Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin



Source link