Microsoft’tan araştırmacılar ve çeşitli güvenlik sağlayıcıları, üretken Zloader kötü amaçlı yazılım dağıtım botnetiyle ilişkili 65 etki alanını çökertti.
ESET, Palo Alto Networks ve Black Lotus Labs’ı içeren aynı operasyonun bir parçası olarak Zloader’ın gömülü bir etki alanı oluşturma algoritması (DGA) aracılığıyla oluşturduğu 319 yedek etki alanı daha ele geçirildi.
Microsoft’un dijital suçlar birimi genel müdürü Amy Hogan-Burney, amacın Zloader botnet’in arkasındaki suç çetesinin hizmet olarak kötü amaçlı yazılım dağıtma operasyonunun bir parçası olarak kullandığı altyapıyı devre dışı bırakmak olduğunu söylüyor. Hogan-Burney, botnet operatörlerinin operasyonları canlandırmaya çalışacağını söylüyor, bu nedenle Microsoft ve yayından kaldırmaya dahil olan diğer kuruluşlar, daha sonraki etkinlikleri izlemek ve belirlemek için birbirleriyle ve İnternet servis sağlayıcılarıyla çalışmaya devam edecek. grup.
Zloader, ilk olarak Kasım 2019’da, kötü şöhretli Zeus bankacılık Truva atı çizgisinde modellenen bankacılık kötü amaçlı yazılımları olarak güvenlik satıcısı radarlarında ortaya çıktı. Yeraltı forumlarında “Silent Night” adı altında satılan kötü amaçlı yazılım, hesap oturum açma kimlikleri ve şifreler gibi çevrimiçi banka hesaplarıyla ilişkili verileri çalmak için tasarlandı.
ESET, araştırmacılarının suç gruplarını gözlemlediğini söyledi. Zloader’ı dağıtmanın farklı yollarıRIG, COVID-19 temalı kimlik avı e-postaları, yetişkinlere uygun siteler ve Google Ads’ün kötüye kullanımı gibi istismar kitleri aracılığıyla. Kötü amaçlı yazılım, bir sisteme yüklendikten sonra çeşitli kötü amaçlı eylemler gerçekleştirmek üzere tasarlanmıştır. ESET, bunun tarayıcılardan veri çalmayı, kripto para cüzdanlarını çalmayı, tuş vuruşlarını kaydetmeyi, uzaktan kontrolü etkinleştirmeyi ve keyfi komut yürütmeyi desteklemeyi içerdiğini söyledi.
Kötü amaçlı yazılımın bir özelliği – ağın ve güvenliği ihlal edilen ana bilgisayarın profilini çıkarma yeteneği – tehdit aktörlerinin virüslü sistemlere farklı kötü amaçlı yükleri dağıtmasına izin verdi. Son zamanlarda bu, DarkSide ve Ryuk gibi her ikisi de son iki yılda çok sayıda yüksek profilli saldırıyla ilişkilendirilen çeşitli fidye yazılımı ailelerini içeriyordu.
Microsoft’un dijital suçlar birimi, Zloader altyapısını kaldır. Şirket, ABD Georgia Kuzey Bölgesi Bölge Mahkemesi’nden Microsoft’un güvenlik araştırmacılarının 65 Zloader ile ilişkili etki alanının kontrolünü ele geçirmesine ve bu sitelere gelen trafiği bir Microsoft düdenine yönlendirmesine izin veren bir mahkeme emri aldı.
ESET güvenlik istihbarat ekibi lideri Alexis Dorais-Joncas, bunun gibi kesinti operasyonlarının ortaklar arasında çok fazla koordinasyon, bilgi paylaşımı ve doğrulama gerektirdiğini söylüyor. “Teknik zorluklar bir yana, bir kesinti operasyonunda işbirliği yapmak için bir gruba katılmak önemli miktarda güven gerektiriyor” diyor.
Başarılı olmak için, bu tür çabalarda birbirleriyle ortaklık yapan şirketlerin, bilgileri başkalarıyla özgürce paylaşmaya istekli olmaları gerekir. Dorais-Joncas, “Her bir ortağın doğru olanı yapacağına ve herhangi bir bilgiyi yol boyunca kendi çıkarları için kötüye kullanmayacağına güvenebileceğimizi bilmeliyiz” diyor.
Operasyonel açıdan, Zloader gibi platformlardaki zorluk, bağlı kuruluşların kendi bağımsız botnetlerini oluşturmalarına izin vermeleridir. Bu nedenle, onu bozmak, kötü amaçlı yazılımla ilişkili tüm etkin botnet’leri eşleyebilmek, bu botnet’lerin her birinin arkasındaki altyapıyı belirleyebilmek ve aynı anda yeni botnet’lerin görünümünü izleyebilmek anlamına gelir.
Bunu yapmak için ESET, yeni Zloader örneklerini otomatik olarak kümelemek ve tüm aktif Zloader botnet’lerinin ve ilişkili ağ altyapısının gerçek zamanlı görünümünü sağlamak için komut ve kontrol bilgilerini çıkarmak için uç nokta güvenlik teknolojisini kullandı.
Dorais-Joncas, grubun Zloader tabanlı botnet’leri kontrol etmek için kullanılan tüm kötü amaçlı alan adlarının ve IP adreslerinin kapsamlı bir listesini oluşturabilmesi için ESET’in verilerinin Zloader kaldırma işlemine dahil olan diğer satıcılardan alınan verilerle birleştirildiğini söylüyor. “Microsoft’un Dijital Suçlar Birimi ve bu çabaya dahil olan diğer ortaklarla harika bir ilişkimiz olduğu için şanslıyız” diyor. “[We] genişleyen bir tehdit ortamına karşı savunmak için gerektiğinde işbirliği yapmaya devam edecek.”
Bu tür Yayından Kaldırmalar Ne Kadar Etkili?
Zloader botnet operasyonu, son yıllarda güvenlik sağlayıcılarının özellikle tehlikeli bir tehdit operasyonunu ortadan kaldırmak için birbirleriyle başarılı bir şekilde ortaklık kurdukları birçok operasyondan biridir. Çoğu durumda, yayından kaldırmaların hedeflenen etkinlik üzerinde anında bir etkisi oldu, ancak tamamen durdurmayı başaramadı – Trickbot özellikle dikkate değer bir örnektir.
Valtix’in baş güvenlik araştırmacısı Davis McCarthy, sorunlardan birinin, bazı tehdit operatörlerinin, yayından kaldırmaya karşı direncini artırmak için bir botnet’in birden çok sürümünü oluşturması olduğunu söylüyor.
Örneğin, Zloader’ın kaldırılması, her biri kötü amaçlı yazılımın farklı bir sürümü kullanılarak kurulmuş üç ayrı botnet içeriyordu. DGA gibi teknolojiler, tehdit aktörlerinin, birincil etki alanlarının kullanılamaz hale gelmesi durumunda otomatik olarak çok sayıda yedek etki alanı oluşturabilen kötü amaçlı yazılımlar geliştirmesine de izin verdi. Zloader’ın DGA’sı, kötü amaçlı yazılımın botnet başına günde 32 yeni alan oluşturmasına izin verdi.
McCarthy, “İndirme operasyonları, çeşitli yasalar ve ilişkilerle birleştirilen birden fazla paydaşın koordinasyonunu gerektirir. Bu koordinasyon yavaş olabilir” diyor.