Son aylarda ABD’deki kritik altyapı kuruluşlarına ve diğer büyük kuruluşlara karşı çok sayıda saldırıda kullanılan BlackMatter fidye yazılımı türü, kodunda kötü amaçlı yazılımın bazı durumlarda etkinliğini sınırlayan ciddi bir mantık hatası içeriyor.
Illusive Cuma günü yayınladığı bir raporda, hatalı mantığı tetikleyebilen kuruluşların, BlackMatter’ın çevrelerinde neden olabileceği hasarı potansiyel olarak azaltabileceğini söyledi.
Hayali araştırmacılar, fidye yazılımının şirketin test ortamında uzak bilgisayarların paylaşımlarını şifrelemediğini gözlemlediklerinde kusuru keşfettiler. Kodun daha yakından incelenmesi, BlackMatter’ın aynı ağdaki diğer bilgisayarları yalnızca ortam belirli bir şekilde yapılandırıldığında şifrelediğini gösterdi.
Illusive güvenlik araştırmacısı Shahar Zelig, mantık hatasının kuruluşlara BlackMatter’ın dosya paylaşımlarını şifrelemesini engellemenin bir yolunu sunduğunu söylüyor.
“Ancak, güvenliği ihlal edilen cihazın yine de şifrelenmiş olacağını unutmamak önemlidir” diyor. “Ayrıca bir saldırgan birden fazla aygıtın güvenliğini ihlal ettiyse, tüm bu aygıtları şifrelemek için yine de BlackMatter’ı çalıştırabilir. Bu mantık hatası özellikle uzak paylaşımlarla ilgilidir.”
BlackMatter, Sömürge Boru Hattı’na Beyaz Saray’dan başlayarak tüm yol boyunca endişe ve tepki uyandıran bir saldırının ardından DarkSide hizmet olarak fidye yazılımı operasyonunun kapatılmasından kısa bir süre sonra Temmuz 2021’de ortaya çıktı. DarkSide gibi, BlackMatter da bir hizmet olarak fidye yazılımı modeli altında dağıtılıyor. Kötü amaçlı yazılım, ABD gıda ve tarım sektörüne ait en az iki kuruluşa ve diğer birçok kritik altyapı hedefine yönelik saldırılarda kullanıldı. Fidye yazılımının operatörleri, ABD, Kanada, İngiltere, Hindistan, Brezilya, Tayland ve Şili’deki en az 10 büyük kuruluşa ait verileri yayınladı.
Kötü amaçlı yazılımı analiz eden güvenlik satıcıları, yükünü yüksek verimli, küçük (yaklaşık 80 Kb boyutunda), iyi gizlenmiş ve çoğunlukla bellekte çalışan olarak tanımlıyor. Bir Varonis tarafından yapılan analiz BlackMatter operatörlerinin, uzak masaüstleri ve VPN’ler dahil olmak üzere savunmasız uç cihazlardan ödün vererek veya diğer kaynaklardan alınan oturum açma kimlik bilgilerini kötüye kullanarak tipik olarak ilk erişim elde ettiğini gösterdi.
BlackMatter ile ilgili endişeler, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nı (CISA) harekete geçirdi. Ekim ayında bir tavsiye yayınlayın federal kurumları tehdit hakkında uyarmak ve çevrelerinde nasıl tespit edileceğine dair bilgi sağlamak.
Illusive’nin analizi BlackMatter’ın hasarı en üst düzeye çıkarmak için dosya paylaşımlarını nasıl şifrelediğine odaklandı. BlackMatter önce Active Directory’deki tüm bilgisayar hesaplarını numaralandırır. Ardından, her bilgisayar hesabının özniteliklerini alır, ardından her bilgisayar için paylaşımları numaralandırır ve son olarak kullanılabilir her paylaşımı şifrelemeye çalışır.
Zelig, “Mantık hatası ikinci aşamada ortaya çıkıyor” diyor. Bir bilgisayarda “dNSHostName” özniteliği yoksa, BlackMatter bilgisayar özniteliklerinin listesini toplama işlemini sonlandırıyor, diye belirtiyor.
Zelig, “Kısaca söylemek gerekirse, BlackMatter tüm bilgisayarları Active Directory’den alır ve ardından her bilgisayarın özelliklerini listeler” diyor. “Ancak ‘dNSHostName’ özniteliğine sahip olmayan bir bilgisayar varsa, o zaman durur.”
Illusive, BlackMatter’ın yalnızca güvenliği ihlal edilmiş bir sistemdeki varsayılan “bilgisayarlar” kapsayıcısındaki bilgisayar hesaplarını numaralandırdığını da keşfetti. Böylece farklı bir kuruluş biriminde depolanan bilgisayarlar şifrelemeden kurtulur.
Mantıktaki Kusur
Tüm fidye yazılımı araçları uzak paylaşımları şifrelemeye çalışmaz. Aslında, bu özellik çoğu fidye yazılımı aracında mevcut değil, diyor Zelig. BlackMatter’ın mantığıyla ilgili sorun, her bilgisayar nesnesinin bir dNSHostName özniteliğine sahip olacağını varsaymasıdır.
“Çoğu durumda, bu varsayım doğrudur – Active Directory’ye bir bilgisayar eklendiğinde, otomatik olarak dNSHostName’i bir öznitelik olarak dahil edecektir” diyor.
Mantık hatası, kuruluşlara dnsHostName özniteliği olmayan bir bilgisayar hesabı oluşturarak BlackMatter’ın etkisini proaktif olarak azaltmayı deneme ve proaktif olarak azaltma fırsatı veriyor ve bu, kötü amaçlı yazılım ilk numaralandırma işlemine başladığında ilk önce ortaya çıkacak, dedi Illusive. Örnek olarak, bir kuruluş, dnsHostName özniteliği olmadan “aaa-comp” adlı bir hesap oluşturarak, BlackMatter’ın açıkta kalan uzak paylaşımları şifrelemesini potansiyel olarak engelleyebilir.
Zelig, “Hatalı mantığı tetiklemek için bir yönetici, alfasayısal bir listede ilk olarak görünecek bir ada sahip bir bilgisayar nesnesi oluşturmalı ve dNSHostName özniteliğinin ayarlanmadığından emin olmalıdır,” dedi.
