“Shamoon” virüsü 10 yılı aşkın bir süre önce Saudi Aramco’da yaklaşık 30.000 istemci ve sunucu sistemini sakatladığından beri, yıkıcı silici kötü amaçlı yazılım çok az gelişti. Yine de yeni bir araştırmaya göre, kurumsal organizasyonlar için her zamanki gibi güçlü bir tehdit olmaya devam ediyor.
Trellix’te bir kötü amaçlı yazılım analisti olan Max Kersten, geçtiğimiz günlerde, bu yılın başından bu yana çeşitli saldırılarda konuşlandırılan tehdit aktörlerinin 20’den fazla silici ailesini analiz etti – örneğin, dosyaları kurtarılamaz hale getiren veya tüm bilgisayar sistemlerini yok eden kötü amaçlı yazılım. Salı günü Black Hat Middle East & Africa etkinliğinde bir “Wipermania” oturumu sırasında bulgularının bir özetini sundu.
Vahşi Doğada Sileceklerin Karşılaştırılması
Kersten’in analizi şunları içeriyordu: farklı sileceklerin teknik özelliklerinin karşılaştırılması çalışmada aralarındaki paralellikler ve farklılıklara yer verilmiştir. Kersten, analizi için, özellikle Rusya’nın ülkeyi işgalinden hemen önce, tehdit aktörlerinin Ukrayna hedeflerine karşı yaygın olarak kullandığı silecekleri ve vahşi doğada daha jenerik silecekleri dahil etti.
Analizi, silicilerin gelişimini gösterdi, çünkü Shamoon diğer kötü amaçlı yazılım araçlarından çok farklı. Örneğin, tehdit aktörlerinin casusluk kampanyalarında kullandıkları kötü amaçlı yazılımların yıllar içinde giderek daha sofistike ve karmaşık hale geldiği yerlerde, siliciler her zamanki gibi yıkıcı olmalarına rağmen çok az gelişti. Kersten, Dark Reading’e, bunların çoğunun tehdit aktörlerinin bunları nasıl ve neden kullandığıyla ilgili olduğunu söylüyor.
Casus yazılımların ve hedefli saldırılar ve siber casusluk için diğer kötü amaçlı yazılımların aksine, saldırganlar, ilk etapta onu oraya gizlice sokmayı başardıktan sonra, bir ağdaki silicileri gizlemek için yeni işlevler geliştirmek için çok az teşvike sahiptir. Tanım olarak, silecekler bilgisayarlardaki verileri silmek veya üzerine yazmak için çalışırlar ve bu nedenle gürültülüdürler ve başlatıldıktan sonra kolayca fark edilirler.
Kersten, “Silecek davranışının kendiliğinden fark edilmeden kalması gerekmediğinden, gelişme için gerçek bir teşvik yoktur” diyor. Genellikle yalnızca kötü amaçlı yazılımın uzun bir süre boyunca gizli kalması gerektiğinde, tehdit aktörleri gelişmiş teknikler geliştirir ve kötü amaçlı yazılımlarını dağıtmadan önce kapsamlı testler gerçekleştirir.
Ancak sileceklerin o kadar karmaşık olması veya iyi test edilmiş olması gerekmiyor, diyor. Silecek kullanan çoğu tehdit aktörü için “mevcut yöntemler çalışıyor ve bir sonraki saldırıda kullanılacak yeni bir silecek oluşturmak dışında çok az veya hiç ince ayar gerektirmiyor.”
Kersten, bir silicinin diskteki tüm dosyaları silen bir komut dosyası kadar basit veya dosya sistemini ve/veya önyükleme kayıtlarını değiştiren çok aşamalı bir kötü amaçlı yazılım parçası kadar karmaşık olabileceğini keşfetti. Bu nedenle, bir kötü amaçlı yazılım yazarının yeni bir silici geliştirmesi için gereken süre, yalnızca birkaç dakikadan daha karmaşık siliciler için önemli ölçüde daha uzun bir süreye kadar değişebilir, diyor.
İncelikli Bir Tehdit
Kersten, kurumsal güvenlik ekiplerinin silicilere karşı savunmaları değerlendirirken birkaç faktörü göz önünde bulundurmasını savunuyor. Bunlardan en önemlisi tehdit aktörünün amaç ve hedeflerini anlamaktır. Siliciler ve fidye yazılımların her ikisi de veri kullanılabilirliğini bozabilse de, fidye yazılımı operatörleri finansal olarak motive olma eğilimindeyken, silici kötü amaçlı yazılım kullanan bir saldırganın hedefleri daha incelikli olma eğilimindedir.
Örneğin, Kersten’in analizi, stratejik ulus-devlet çıkarlarını desteklemek için çalışan aktivistlerin ve tehdit aktörlerinin, bu yıl siber saldırılarda esas olarak silicileri kullananlar olduğunu gösterdi. Saldırıların birçoğunda, özellikle Rusya’nın Şubat ayında ülkeyi işgalinden hemen önceki dönemde, tehdit grupları Ukrayna’daki kuruluşları hedef aldı.
Bu kampanyalarda aktörleri tehdit eden silicilere örnek olarak WhisperGate ve HermeticWiper verilebilir. Bunların her ikisi de fidye yazılımı kılığına girmiş ama gerçekte Windows sistemlerindeki Ana Önyükleme Kaydına (MBR) zarar vermiş ve onları çalışmaz hale getirmiştir.
Saldırganların bu yıl Ukrayna’daki hedeflere karşı konuşlandırdığı diğer siliciler arasında RURansom, IsaacWiper ve Rusya’nın kötü şöhretli Sandworm grubunun Ukrayna’nın elektrik şebekesiyle ilişkili Windows sistemlerine yerleştirmeye çalıştığı bir araç olan CaddyWiper yer alıyor. Bu saldırıların birçoğunda, onları fiilen gerçekleştiren tehdit aktörleri, silicileri farklı yazarlardan almış görünüyor.
Güvenlik görevlilerinin akılda tutması gereken bir başka faktör de, silicilerin her zaman hedef sistemdeki dosyaları silmemesidir; bazen silecekler, dosyaların üzerine de yazarak bir hedef sistemi bozabilir. Bu, bir silici saldırısının ardından dosyaları kurtarmaya çalışırken fark yaratabilir.
“Bir dosyayı silmek genellikle dosyayı diskte bırakır Kersten, 15 Kasım’da Black Hat konuşmasıyla birlikte yayınlanan araştırmasıyla ilgili bir blog yazısında boyutu yeni yazma işlemleri için ücretsiz olarak işaretlerken olduğu gibi” yazdı. birçok örnek, dedi.
Bir silici araç dosyaların üzerine yazarak onları bozduğunda, dosyaların kurtarılması daha zor olabilir. Blog gönderisinde Kersten, her dosyanın ilk megabaytının üzerine 0xCC ile art arda yazarak dosyaları bozan WhisperGate siliciye işaret etti. RURansom gibi diğer siliciler, her dosya için rastgele bir şifreleme anahtarı kullanırken, bazı siliciler kötü amaçlı yazılımın kopyalarını dosyaların üzerine yazar. Bu gibi durumlarda, dosyalar kullanılamaz durumda kalabilir.
Kersten, ana çıkarımın, kuruluşların fidye yazılımı bulaşmalarına hazırlandıkları gibi silicilere de hazırlanmaları gerektiğini söylüyor. Bu, tüm kritik veriler için yedeklerin yerinde olmasını ve kurtarma süreçlerinin sık sık ve uygun ölçekte test edilmesini içerir.
“Neredeyse her silici, tüm dosyaların kaybolduğu veya makinenin artık düzgün çalışmadığı noktaya kadar bir sistemi bozabilir.” “Sileceklerin yapımı kolay olduğundan, saldırganlar gerekirse her gün yeni bir tane oluşturabilir.”
Bu nedenle, kuruluşların odak noktası, yanal hareket gibi düşmanın taktikleri, teknikleri ve prosedürleri (TTP’ler) üzerinde olmalıdır. — kötü amaçlı yazılımın kendisi yerine.
“Çarpmaya hazırlanmak daha iyidir [from a wiper attack] Hiçbir şey olmadığında,” diyor Kersten, “önceden haber verilmeksizin tam güçle vurulmaktan daha fazlası.”