Güvenlik çözümlerine müdahale etmek için tasarlanan yaygın bir siber suç aracı, uç nokta algılama ve yanıt (EDR) araçlarının dayandığı korumalı Windows işlemlerini öldürmek için yeni bir yöntemle yükseltildi.
Ünlü “AuKill” tarafından geliştirilen FIN7 siber suç kolektifi (diğer adıyla Carbanak, Carbon Spider, Cobalt Group, Navigator Group), özel olarak tasarlanmış bir programdır uç nokta güvenliğini zayıflatmakBu amaçla korumalı süreçler için sandboxing ve Restart Manager ve Service Control Manager gibi temel Windows API’lerinden yararlanma gibi 10’dan fazla farklı kullanıcı ve çekirdek modu tekniğini kullanır.
SentinelOne’dan gelen yeni bir rapor, AuKill’in siber suç aktörleri, özellikle de üst düzey fidye yazılımı grupları arasında giderek daha popüler hale geldiğini açıklıyor. Ve onu savunucuların bir adım önünde tutmak için FIN7, belirli korumalı süreçleri bir hizmet reddi (DoS) durumuna sokmak için yeni bir teknikle bunu yineledi.
AuKill’de doğdu
Büyük ölçüde Rus-Ukraynalı bir operasyon olan FIN7, 2012’den beri sektörler genelinde finansal olarak motive edilmiş siber kampanyalar yürütüyordu. O zamanlar, uzmanlık alanı satış noktası (PoS) kötü amaçlı yazılımlarıydı. sonra bir trend.
Siber suç kredi kartı hırsızlığından fidye yazılımına doğru ilerledikçe, FIN7 de onunla birlikte hareket etti. Kendi fidye yazılımı hizmeti (RaaS) projelerini başlattı: önce Darkside ve ardından, Amca Sam ile anlaşmazlıklarBlackMatter. Ayrıca önde gelen Conti ve REvil gibi diğer büyük fidye yazılımı gruplarıyla da ortaklık kurmaya başladı.
Nisan 2022’de FIN7, artık AuKill olarak bilinen güvenlik karşıtı aracı geliştirmeye başladı. Çeşitli takma adlar kullanarak, programı siber suç forumlarında 4.000 ila 15.000 dolar arasında değişen fiyatlarla pazarlamaya başladı.
Bunu vahşi doğada kullandığı bilinen ilk aktör, Haziran 2022’de Black Basta’ydı. 2023’ün başlarında, fidye yazılımı yelpazesindeki tehdit aktörleri de buna uymaya başladı. SentinelOne, örneğin AvosLocker, BlackCat ve LockBit gibi yüklerin yanı sıra saldırılarda bunu gözlemledi.
Yeni Teknik
Yeni bir kötü amaçlı yazılım aracı dikkat çekmeye başladığında, savunucular uyum sağlamaya başladıkça başlangıçtaki etkinliğini kaybetme riskiyle karşı karşıya kalır. Bu nedenle, devam etmesi için yazarların yeni özellikler değiştirmeleri ve oluşturmaları gerekir.
AuKill’in yeni özelliği, EDR çözümleri tarafından çalıştırılan korumalı süreçleri hedef alıyor. Silahları: varsayılan zaman yolculuğu hata ayıklama (TTD) izlemesi Windows sürücüsü — TTD süreçlerini izlemek için kullanılır — bir Güncellenmiş versiyon Process Explorer sürücüsünün.
Kısacası, kötü amaçlı yazılım, saldırmak istediği korumalı Windows işlemlerini izlemek için eski sürücüyü kullanır ve açılırlarsa onları askıya alır. Korunan işlem daha sonra korumasız yardımcı (çocuk) işlemlerini başlatmaya çalıştığında, sonraki sürücü bunları engeller. Sürücüler ana ve çocuğu engellediğinde, bir çökme meydana gelir.
SentinelOne’da saldırı güvenliği araştırmacısı olarak çalışan Antonio Cocomazzi, “Kuruluşlar, kurumsal cihazlarda dağıtılan güvenlik çözümlerinde kurcalamaya karşı koruma mekanizmalarının etkinleştirildiğinden emin olmalıdır” diyor.
“Bu özel teknik için,” diye ekliyor, “kuruluşlar güvenlik yazılımlarının kurcalama önleme korumalarının, Process Explorer sürücüsünü istismar edenler gibi çekirdek modu saldırılarına karşı savunma sağlayacak kadar sağlam olduğundan emin olmalıdır. Çekirdek düzeyinde izleme ve sürücü erişimini kısıtlama gibi ek güvenlik önlemlerinin uygulanması, bu gelişmiş tehditlere karşı korumayı daha da artırabilir.”