Tehdit aktörleri, daha önce belgelenmemiş bir “savunma kaçırma aracı” kullanıyor. AuKill Kendi Güvenlik Açığı Sürücüsünü Getir (BYOVD) saldırısı yoluyla uç nokta algılama ve yanıt (EDR) yazılımını devre dışı bırakmak için tasarlanmıştır.
“AuKill aracı, eski bir sürümünü kötüye kullanıyor. sürücü Microsoft yardımcı programının 16.32 sürümü tarafından kullanılır, Süreç araştırmacısıSophos araştırmacısı Andreas Klopsch, hedef sisteme bir arka kapı veya fidye yazılımı yerleştirmeden önce EDR işlemlerini devre dışı bırakmak için” dedi. söz konusu geçen hafta yayınlanan bir raporda.
Siber güvenlik firması tarafından analiz edilen olaylar, AuKill’in 2023’ün başından beri Medusa Locker ve LockBit gibi çeşitli fidye yazılımı türlerini dağıtmak için kullanıldığını gösteriyor. Bugüne kadar kötü amaçlı yazılımın altı farklı sürümü tanımlanmıştır. En eski AuKill örneği, Kasım 2022 derleme zaman damgasına sahiptir.
BYOVD tekniği, tehdit aktörlerinin Microsoft tarafından imzalanmış meşru, ancak güncelliğini yitirmiş ve kötüye kullanılabilir bir sürücüyü (veya çalınmış veya sızdırılmış bir sertifikayı kullanarak) yükseltilmiş ayrıcalıklar elde etmek ve güvenlik mekanizmalarını kapatmak için kötüye kullanmasına dayanır.
Yasal, istismara açık sürücüler kullanarak, çekirdek modu sürücülerin çalışmasına izin verilmeden önce geçerli bir kod imzalama yetkilisi tarafından imzalanmasını sağlayan Sürücü İmzası Uygulaması olarak bilinen önemli bir Windows korumasını atlamak amaçlanır.
Sophos araştırmacıları, “AuKill aracının çalışması için yönetici ayrıcalıkları gerekir, ancak saldırgana bu ayrıcalıkları veremez,” dedi. “AuKill kullanan tehdit aktörleri, saldırılar sırasında başka yollarla elde ettikleri mevcut ayrıcalıklardan yararlandılar.”
Bu, Microsoft imzalı Process Explorer sürücüsünün saldırılarda silah haline getirildiği ilk sefer değil. Kasım 2022’de Sophos, LockBit bağlı kuruluşlarının şu adla açık kaynaklı bir aracı nasıl kullandığını da ayrıntılı olarak açıkladı: arkadan bıçaklama korumalı kötü amaçlı yazılımdan koruma işlemlerini sonlandırmak için sürücünün eski sürümlerini kötüye kullanan.
Daha sonra bu yılın başlarında, FormBook bilgi çalan kötü amaçlı yazılımını dağıtmak için MalVirt adlı bir .NET yükleyicisini dağıtmak için aynı sürücüyü kullanan bir kötü amaçlı reklam kampanyası tespit edildi.
Geliştirme, AhnLab Güvenlik Acil Müdahale Merkezi (ASEC) olarak geliyor açıklığa kavuşmuş kötü yönetilen MS-SQL sunucularının, trigona olarak anılan başka bir türle örtüşen paylaşımları olan fidye yazılımı CryLock.
Ayrıca takip eder bulgular Play fidye yazılımı (diğer adıyla PlayCrypt) aktörlerinin, güvenliği ihlal edilmiş bir ağdaki tüm kullanıcıları ve bilgisayarları numaralandırmayı ve Birim Gölge Kopyası Hizmeti’nden dosyaları kopyalamayı mümkün kılan özel veri toplama araçlarını kullandığı gözlemlendi (VSS).
.NET tabanlı bir bilgi hırsızı olan Grixba, güvenlik programları, yedekleme yazılımı ve uzaktan yönetim araçları için bir makineyi taramak ve daha sonra ZIP arşivlerine sıkıştırılan CSV dosyaları biçiminde toplanan verileri sızdırmak için tasarlanmıştır.
Symantec tarafından Balon Sineği olarak izlenen siber suç çetesi tarafından da kullanılan, .NET’te yazılmış bir VSS Kopyalama Aracıdır. AlphaVSS çerçevesi bir VSS anlık görüntüsündeki dosya ve klasörleri listelemek ve bunları şifrelemeden önce bir hedef dizine kopyalamak için.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Play fidye yazılımı, yalnızca kullandığı için dikkate değer aralıklı şifreleme süreci hızlandırmak için değil, aynı zamanda hizmet olarak fidye yazılımı (RaaS) modelinde çalıştırılmadığı için. Şimdiye kadar toplanan kanıtlar, Balon Fly’ın fidye yazılımı saldırılarını gerçekleştirmesinin yanı sıra kötü amaçlı yazılımı kendilerinin geliştirdiğine işaret ediyor.
Grixba ve VSS Copying Tool, Exmatter gibi uzun bir tescilli araç listesinin en sonuncusudur. Exbyteve fidye yazılımı aktörleri tarafından operasyonları üzerinde daha fazla kontrol sağlamak için kullanılan PowerShell tabanlı betikler, aynı zamanda tehlikeye atılmış ortamlarda varlığını sürdürmek ve tespit edilmekten kaçınmak için fazladan karmaşıklık katmanları ekler.
Finansal motivasyona sahip gruplar tarafından giderek daha fazla benimsenen bir diğer teknik, Go programlama dilinin platformlar arası kötü amaçlı yazılım Ve direnç analizi Ve tersine mühendislik çabalar.
Gerçekten de, geçen hafta Cyble’dan gelen bir rapor, Windows için olay izlemeden kaçınmak için adımlar atmanın yanı sıra kurbanlarından ödeme olasılığını artırmak için çifte gasp tekniğini kullanan CrossLock adlı yeni bir GoLang fidye yazılımını belgeledi (ETW).
Cyble, “Bu işlevsellik, kötü amaçlı yazılımın olay günlüklerine bağlı güvenlik sistemleri tarafından algılanmasını önlemesini sağlayabilir.” söz konusu. “CrossLock Fidye Yazılımı, aynı anda saldırının etkinliğini artırırken veri kurtarma şansını azaltmak için çeşitli eylemler gerçekleştirir.”