Yakın zamanda yapılan bir vaka çalışması, yama uygulamalarının zamanında yapılmasının önemli olduğunu bir kez daha gösterdi, ancak fidye yazılımlarını durdurmak için sihirli bir değnek değil.
Fidye yazılımı çeteleri uzun bir oyun oynayabileceklerini gösterdiler, bu nedenle güvenliği ihlal edilmiş bir sistemi kullanmak için aylarca beklemeye hazırlanan birinin olduğunu öğrenmek sürpriz olmamalı.
S-RM’nin Olay Müdahale ekibi, aylar sonrasına kadar kullanılmayan bir arka kapı yerleştirmek için belirli bir güvenlik açığından yararlanan Lorenz fidye yazılımı grubuna atfedilen bir kampanyanın ayrıntılarını paylaştı.
Lorenz
Lorenz fidye yazılımı grubu ilk olarak 2021’de radara girdi. Tüm dünyadaki kuruluşları hedef aldılar ve kurbanlarının ortamlarına erişmek için VoIP güvenlik açıklarında uzmanlaşmalarıyla biliniyorlar. Birçok fidye yazılımı grubu gibi, kurbanlarının verilerini şifrelemeden önce çalarlar, böylece veri sızdırma tehdidini şifreleme tehdidine ekleyerek verileri kurtarılamaz hale getirebilirler.
güvenlik açığı
Araştırmacılar belirli bir durumda, Lorenz grubunun yama uygulanmadan bir hafta önce CVE-2022-29499 olarak listelenen bir güvenlik açığından yararlanabildiğini buldu. CVSS puanı 10 üzerinden 9,8 olan bu güvenlik açığı, Mitel MiVoice Connect’teki Service Appliance bileşeninde 19.2 SP3 üzerinden bulunmakta ve hatalı veri doğrulaması nedeniyle uzaktan kod çalıştırılmasına izin vermektedir. Esasen güvenlik açığı, kimliği doğrulanmamış bir uzak saldırganın komutları enjekte etmek ve uzaktan kod yürütmeyi başarmak için özel hazırlanmış istekler göndermesine izin verdi.
Sömürülen
Bir güvenlik açığı keşfedilip yama uygulandıktan sonra, kuruluşların yamayı uygulamak için uygun bir anı beklemesi alışılmadık bir durum değildir. Ancak bir yama kullanıma sunulur sunulmaz, tehdit aktörleri yama üzerinde tersine mühendislik yapma, güvenlik açığını bulma, bir açıktan yararlanma oluşturma ve ardından güvenlik açığı bulunan sistemleri tarama fırsatına sahip olur. Lorenz fidye yazılımı grubunun savunmasız sisteme bir web kabuğu kurmak için tam da bu fırsat penceresinden yararlanmayı başardı. Bu web kabuğunun benzersiz bir adı vardır ve sisteme erişmek için kimlik bilgileri gerektirir.
Kabuk, gerçek fidye yazılımı olayından yaklaşık beş ay önce yerleştirildi ve bu süre boyunca uykuda kaldı. Arka kapının bir İlk Erişim Aracısı (IAB) tarafından oluşturulup ardından fidye yazılımı grubuna satılıp satılmadığı veya Lorenz grubunun kendilerinin mi oluşturduğu bilinmiyor. Ama sonuçlar aynı.
Neden beklemek?
Fidye yazılımının ele geçirilmesi ile dağıtılması arasındaki süre birkaç teori ile açıklanabilir.
- Arka kapı, güvenliği ihlal edilmiş sisteme erişimlerini satmak için doğru teklifi bekleyen bir IAB tarafından yerleştirildi.
- Kullanılması kolay bir güvenlik açığı mevcut olduğunda, bir grup önce mümkün olduğu kadar çok sistemi tehlikeye atacak ve daha sonra kurbanlar listesinden geçecektir.
- İlk ihlalle birlikte, tehdit aktörü çevre CentOS sistemindeki birkaç önemli yapıyı değiştirerek herhangi bir ek günlük kaydı veya denetim verisinin oluşturulmasını etkili bir şekilde engelledi. Bir süre sonra eski günlükler silinecek ve yenileri oluşturulmayacak, bu da saldırganın fark edilmeden girme şansını artırıyor.
Yama
Zamanında yama yapmanın ne kadar önemli olduğunu bize göstermenin yanı sıra, bu güvenlik açığı bize yama yapmanın her zaman tek başına yeterli olmadığını da gösterdi.
Bir yama mevcut olmadan önce bu güvenlik açığı ile mağdur edildi. Güvenlik açığı, şüpheli bir fidye yazılımı saldırı girişimi araştırılarak bulundu, bu nedenle güvenlik açığını henüz sıfır günken kullanabilen en az bir grup vardı.
İstismar ayrıntıları Haziran’da yayınlandı ve kurban Temmuz’da yama yaptı, ancak yama yapılmadan bir hafta önce güvenliği ihlal edildi. Bu nedenle, arka kapı, yamanın piyasaya sürülmesi ile gerçekten yüklenmesi arasındaki süre boyunca yerleştirildi, sözde “yama aralığı”.
izleme
Peki, savunmasız bir sisteme yama uygulamamız durumunda başka ne yapmamız gerekiyor? Her derde deva bir yanıtı olmayan zor bir soru. Ancak verebileceğimiz bazı tavsiyeler var:
- Yama aralığını mümkün olduğu kadar küçük tutun. Kolay olmadığını biliyoruz ama çok yardımcı oluyor.
- Güvenlik açığı göstergeleri (IOC’ler) için yama uygulamadan önce ve sonra güvenlik açığı bulunan cihazları kontrol edin. Her zaman mevcut olmayabilirler, ancak istismar edildiği bilinen bir güvenlik açığı söz konusu olduğunda, IOC’leri bulabilir veya nereye bakacağınızı bulabilirsiniz.
- Sürekli izleme. Arka kapıyı bulamadıysanız, tehdit aktörlerinin yanal hareket için kullandığı araçları bulma ve son yükü (bu durumda fidye yazılımı) engelleme yeteneklerine sahip olduğunuzdan emin olun.
- Yakın zamanda yama uygulanan cihazdan/sistemden kaynaklanan yetkisiz erişim veya atipik davranış olup olmadığına bakın.
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.