Ransomware saldırıları, özellikle ilk erişim aracılarının (IAB) teknikleriyle giderek daha karmaşık hale gelmektedir. Storm-0249 olarak adlandırılan bir ilk erişim aracısı, uç nokta algılama ve yanıt çözümlerini (EDR) kötüye kullanarak zararlı yazılımlar yüklemekte, iletişim kurmakta ve kalıcılık sağlamaktadır. Bu durum, ransomware saldırılarının hedef almasına hazırlık niteliğindedir.
Gizli Yöntemler ve Taktikler
Gelişen tehdit aktörü, toplu phishing yöntemlerinin ötesine geçerek daha gizli ve gelişmiş yöntemler benimsemiştir. Bu yeni taktikler, güvenlik uzmanlarının savunmalarını aşmakta etkili ve zorlayıcı olmaktadır. Uzmanlar, Storm-0249’un saldırılarında EDR bileşenlerini nasıl kullandığını araştırmıştır ve bu yöntemlerin diğer EDR ürünleriyle de çalıştığını belirtmektedir.
SeninelOne EDR’nin Kötüye Kullanımı
ReliaQuest tarafından analiz edilen bir saldırıda, Storm-0249’un ilk aşaması ‘ClickFix’ adı verilen sosyal mühendislik ile başlamıştır. Bu, kullanıcıları yazılımlarını çalıştırmaları için kandırarak kötü amaçlı bir MSI paketini sistemde SYSTEM yetkileri ile indirmeye zorlamakta kullanılmaktadır. Ayrıca, sahte bir Microsoft alanından kötü amaçlı bir PowerShell betiği de indirilmekte, bu da sistemin belleğine doğrudan yüklenerek antivirüs sistemlerinden kaçmaktadır.
İlgili MSI dosyası, ‘SentinelAgentCore.dll’ adı verilen zararlı bir DLL dosyası bırakmakta. Bu DLL, daha önceden sisteme kurulu olan ve yasal bir bileşen olan ‘SentinelAgentWorker.exe’ dosyası ile yan yana konumlandırılmaktadır. Sonraki adımda, saldırgan DLL’i yasal bir süreç üzerinden yüklemekte ve böylece sistemi güncellemelerden bağımsız olarak devamlılığını sağlamaktadır.
Güvenli Sistemlerde Güvensiz Faaliyetler
Saldırgan, bu EDR bileşenini kullanarak sistem tanımlayıcıları toplamakta ve HTTPS üzerinden şifrelenmiş komut ve kontrol (C2) trafiği yönlendirmektedir. Normalde, kayıt sorguları ve metin aramaları alarmlara yol açabilir, ancak bunlar güvenilir bir EDR sürecinden yürütüldüğünde rutin işlemler olarak algılanmakta ve göz ardı edilmektedir.
ReliaQuest, ele geçirilen sistemlerin ‘MachineGuid’ adlı benzersiz bir donanım tabanlı tanımlayıcı ile profillendiğini belirtmektedir. Bu, LockBit ve ALPHV gibi ransomware gruplarının şifreleme anahtarlarını belirli kurbanlara bağladığına dair bir işaret olarak değerlendirilmektedir.
Öneriler ve Koruma Yöntemleri
EDR süreçlerinin kötüye kullanımı, geleneksel izleme sistemlerinin büyük çoğunluğunu atlatmaktadır. Araştırmacılar, sistem yöneticilerine, standart dışı yollarından imzasız DLL’ler yükleyen güvenilir süreçleri tanımlamaya yönelik davranış bazlı algılama sistemlerini kullanmalarını önermektedir.
Ayrıca, ‘curl’, PowerShell ve LoLBin uygulamalarının çalıştırılmasında daha sıkı kontrol önlemleri alınması önerilmektedir. Bu tür engelleyici yöntemler, ransomware tehditlerinin önüne geçmekte önemli bir adım olarak değerlendirilmektedir.
