Araştırmacılar, bilgisayar korsanlarının daha şüpheli kötü amaçlı yazılımları ve hatta bazen fidye yazılımlarını dağıtmadan önce cihazlarda yüklü antivirüs programlarını devre dışı bırakmak için yepyeni bir araç kullandıklarını söylüyor.
Sophos X-Ops’tan siber güvenlik araştırmacıları, yakın zamanda güvenlik programlarını devre dışı bırakabilen AuKill adlı bir aracı devreye almak için Kendi Güvenlik Açığı Sürücüsünü Getir (BYOVD) yöntemini kullanan tehdit aktörlerini gözlemledi.
İlk olarak, meşru ancak savunmasız bir sürücüyü hedef uç noktaya bırakmaları gerekir. Bu genellikle e-posta kaynaklı saldırılar yoluyla yapılır ve sürücüyü kimlik avı e-postaları yoluyla dağıtır. Çekirdek ayrıcalıklarıyla çalışabilen sürücüye procexp.sys adı verilir ve genellikle Microsoft’un Process Explorer v16.32 (etkin Windows işlemlerinde veri toplayan meşru bir program) tarafından kullanılan asıl sürücünün yanında teslim edilir.
Kendi Savunmasız Sürücünüzü Getirin
Meşru program kötü niyetli DLL’yi çalıştırdığında, önce SYSTEM ayrıcalıklarıyla çalışıp çalışmadığını kontrol edecek ve TrustedInstaller Windows Modülleri Yükleyicisi gibi görünerek çalıştığından emin olacaktır. Ardından, çeşitli güvenlik işlemlerini ve hizmetlerini test eden ve devre dışı bırakan birden çok iş parçacığı başlatır.
Bilgisayardaki güvenlik programlarını devre dışı bıraktıktan sonra, AuKill’in operatörleri ikinci aşama kötü amaçlı yazılım dağıtacak. Sophos X-Ops’un raporuna göre, bazen tehdit aktörleri hem son derece güçlü hem de popüler fidye yazılımı varyantları olan Medusa Locker veya LockBit’i konuşlandırıyor.
Araştırmacılar, “Araç, 2023’ün başından bu yana en az üç fidye yazılımı olayında hedefin korumasını sabote etmek ve fidye yazılımını dağıtmak için kullanıldı” uyarısında bulundu. “Ocak ve Şubat aylarında, saldırganlar aracı kullandıktan sonra Medusa Locker fidye yazılımını dağıttı; Şubat ayında bir saldırgan, Lockbit fidye yazılımını dağıtmadan hemen önce AuKill’i kullandı.”
Araç nispeten yeni görünse ve yeni keşfedilmiş olsa da, varyantlarından biri Kasım 2022 zaman damgasını taşıyor. Araştırmacılar, keşfedilen en yeni versiyonun Şubat ayı ortasında derlendiği sonucuna varıyor. Kodu, antivirüs programlarını devre dışı bırakabilen açık kaynaklı bir araç olan Backstab’ınkine benzer. Araştırmacılar geçmişte LockBit’in operatörlerinin Backstab kullandığını gördüler.
Sophos ekibi, “Açık kaynak aracı Backstab ve AuKill arasında birçok benzerlik bulduk” diyor. “Bu benzerliklerden bazıları, sürücüyle etkileşime geçmek için benzer, karakteristik hata ayıklama dizeleri ve neredeyse aynı kod akışı mantığını içerir.”
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)