Bilinmeyen bir tehdit aktörünün, en az Mayıs 2020’den bu yana, muhtemelen Orta Doğu’yu hedef alan saldırılarda kötü amaçlı bir Windows çekirdeği sürücüsünden yararlandığı gözlemlendi.
Yapıya isim veren Fortinet Fortiguard Labs WINTAPIX (WinTapix.sys), kötü amaçlı yazılımı düşük bir güvenle İranlı bir tehdit aktörüne bağladı.
Güvenlik araştırmacıları Geri Revey ve Hossein Jazi, “WinTapix.sys temelde bir yükleyicidir” söz konusu Pazartesi günü yayınlanan bir raporda. “Dolayısıyla birincil amacı, saldırının bir sonraki aşamasını üretmek ve yürütmektir. Bu, bir kabuk kodu kullanılarak yapılır.”
Fortinet tarafından analiz edilen örnekler ve telemetri verileri, kampanyanın birincil odak noktasının Suudi Arabistan, Ürdün, Katar ve Birleşik Arap Emirlikleri olduğunu gösteriyor. Faaliyet, bilinen bir tehdit aktörü veya grubuyla ilişkilendirilmemiştir.
Kötü niyetli kullanarak çekirdek modu sürücü, fikir, güvenlik mekanizmalarını alt üst etmek veya devre dışı bırakmak ve hedeflenen ana bilgisayara yerleşik erişim elde etmektir.
Bu tür sürücüler içinde çalışır çekirdek belleği ve bu nedenle, dahil olmak üzere herhangi bir işlemi gerçekleştirebilir. kritik güvenlik mekanizmalarını değiştirmek Ve isteğe bağlı kod çalıştırma en yüksek ayrıcalıklara sahip.
Başka bir deyişle, bir gizli yol ile daha derine sızmak hedeflenen sisteme dahil edin, kalıcılığı koruyun ve yürütün ek yükler veya tehdit aktörünün çok aşamalı saldırısının bir parçası olarak komutlar.
Kötü amaçlı sürücülere karşı önlem almak için önemli bir güvenlik önlemi, yalnızca Microsoft tarafından imzalanan sürücülerin sisteme yüklenebilmesini sağlayan Sürücü İmzası Uygulamasıdır. Teknoloji devi de koruyor sürücü engelleme kuralları bilinen savunmasız sürücülere karşı korumak için.
Öte yandan WinTapix.sys, tehdit aktörünün WINTAPIX’i başlatmak için önce yasal ancak güvenlik açığı bulunan bir sürücü yüklemesi gerekeceğini belirten geçersiz bir imzayla gelir.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Ancak çekirdeğe yüklendikten sonra WinTapix.sys, şifrelenmiş bir .NET yükünü yürüten uygun bir kullanıcı modu işlemine katıştırılmış bir kabuk kodu enjekte edecek şekilde yapılandırılır.
WINTAPIX, açık kaynak kullanılarak oluşturulan kabuk kodunu gömmenin yanı sıra çörek projesimakine önyüklendiğinde bile yüklenmesine izin veren Windows Kayıt Defteri değişiklikleri aracılığıyla kalıcılık oluşturur. Güvenli mod.
.NET kötü amaçlı yazılımı, komutları yürütmek, dosya indirme ve yüklemek için arka kapı ve proxy özellikleri ile donatılmıştır ve iki iletişim uç noktası arasında veri iletmek için bir proxy işlevi görür.
Araştırmacılar, “İranlı tehdit aktörlerinin ek kötü amaçlı yazılım dağıtmak için Exchange sunucularını kullandığı bilindiğinden, bu sürücünün Exchange saldırılarıyla birlikte kullanılmış olması da mümkündür” dedi.
“Bu noktaya kadar, sürücülerin derleme süresi, İranlı tehdit aktörlerinin Exchange sunucusu güvenlik açıklarından yararlandığı zamanlarla da uyumlu.”
Gelişme, ALPHV (aka BlackCat veya Noberus) fidye yazılımı grubunun güvenlik savunmalarını bozmak ve uzun süre tespitten kaçmak için kötü amaçlı imzalanmış bir sürücüden yararlandığı gözlemlendiğinde ortaya çıktı.
Söz konusu sürücü, ktgn.sys, POORTRY’nin çalıntı veya sızdırılmış bir çapraz imza sertifikası, siber güvenlik firması Trend Micro kullanılarak imzalanmış güncellenmiş bir sürümüdür. söz konusu bir raporda.
POORTRY, güvenlik yazılımını sonlandırmak için yeteneklerle birlikte gelen bir Windows çekirdek sürücüsüne atanan addır. Geçen yılın sonlarında, fidye yazılımı çeteleri ve UNC3944 (aka Roasted 0ktapus ve Scattered Spider) olarak bilinen bir tehdit aktörü tarafından kullanıldığı ifşa edildi.
Trend Micro, “Windows işletim sistemine aktif olarak yüksek ayrıcalıklı erişim arayan kötü niyetli aktörler, uç nokta koruma platformu (EPP) ve uç nokta algılama ve yanıt (EDR) teknolojileri aracılığıyla kullanıcılar ve işlemler üzerindeki artan korumayla mücadele etmeye çalışan teknikler kullanıyor” dedi. .
“Bu kötü niyetli aktörler ayrıca, ya yeraltı kaynaklarından rootkit satın almak ya da bir rootkit oluşturmak için kod imzalama sertifikaları satın almak için yeterli mali kaynağa sahip olma eğilimindedir.”