Giriş
Son zamanlarda, son noktayı tespit ve yanıt (EDR) yazılımlarını etkisiz hale getiren araçların analizi, kötü niyetli aktörlerin kullandığı önemli bir teknik olan “bring your own vulnerable driver” (BYOVD) yönteminin yaygınlığını ortaya koydu. Bu durum, siber güvenlik alanında kritik bir tehdit olarak öne çıkıyor ve ransomware saldırılarının etkili bir şekilde gerçekleştirilmesini sağlıyor.
Saldırı Nasıl Çalışıyor?
54 EDR killer programı, toplamda 34 savunmasız sürücüyü istismar ederek BYOVD tekniğinden yararlanıyor. Ransomware grupları, özellikle ransomware-as-a-service (RaaS) programları sunanlar, yeni sürümlerini geliştirirken güvenlik yazılımlarını etkisiz hale getirmek için bu tür araçları kullanıyorlar. ESET araştırmacısı Jakub Souček, “Yeni yapıların her birinin güvenlik yazılımları tarafından tespit edilmeden çalışmasını sağlamak zaman alıcıdır” diyor.
EDR killer, güvenlik kontrollerini devre dışı bırakmak için çalışan özel bir bileşen olarak değerlendirilir. Bu, ransomware’in basit, kararlı ve yeniden inşa edilmesi kolay olmasını sağlarken, bazı durumlarda EDR sonlandırma ile ransomware modüllerinin birleştirildiği de görülmüştür. Örneğin, Reynolds ransomware bu duruma örnek teşkil etmektedir.
Etkilenen Sistemler
EDR killer’ların çoğu, meşru ancak savunmasız sürücüleri kullanarak ayrıcalıklı erişim elde etmekte; bu durum, saldırganların EDR süreçlerini sonlandırmalarını, güvenlik araçlarını devre dışı bırakmalarını ve diğer sistem savunmalarını tehlikeye atmalarını sağlıyor. Böylece, Microsoft’un sürücü güvenilirlik modelindeki zaafları istismar edilerek savunmalar atlatılıyor.
BYOVD tabanlı EDR killer’ların gelişiminde yer alan başlıca tehdit aktörleri şunlardır:
- DeadLock ve Warlock gibi kapalı ransomware grupları
- Mevcut kanıt konsepti kodunu değiştiren saldırganlar (örneğin, SmilingKiller ve TfSysMon-Killer)
- Yeraltı pazarlarında bu tür araçları hizmet olarak pazarlayan siber suçlular (örneğin, DemoKiller olarak bilinen Бафомет, ABYSSWORKER ve CardSpaceKiller)
ESET ayrıca, scripts kullanan araçların güvenlik ürün süreçlerini ve servislerini bozmak için yerleşik yönetici komutları kullandığını belirtiyor. Bazı varyantlar, Windows Güvenli Modu ile birlikte scripting kombinasyonları içermekte.
Çözüm ve Korunma
Ransomware ve EDR killer’larına karşı en etkili savunma mekanizması, yaygın bir şekilde kötüye kullanılan sürücülerin yüklenmesini engellemektir. Ancak, EDR killer’lar yalnızca en son aşamada ve şifreleyici başlatılmadan önce çalıştıkları için, bu aşamadaki bir başarısızlık, tehdit aktörünün aynı görevi gerçekleştirmek için başka bir araca geçiş yapmasını kolaylaştırır.
Kurumların, her aşamada tehdidi proaktif bir şekilde izlemek, işaretlemek, sınırlamak ve tedavi etmek için katmanlı savunma ve tespit stratejilerine sahip olmaları gerekmektedir. Bu durum, EDR killer’ların düşük maliyetli ve etkili olmasından kaynaklanmakta, bu nedenle kullanıcıların tespit edilmekten kaçınma konusunda fazla çaba harcamadan bu araçları kullanması kolaydır.
Aksiyon
Tüm bu bilgileri göz önünde bulundurarak, organizasyonların derhal aşağıdaki eylemleri gerçekleştirmesi önerilmektedir:
- Tüm yazılımları ve sürücüleri güncelleyin ve savunmasız olanları tespit edin.
- Saldırı yüzeyini azaltmak için kullanılmayan portları kapatın.
- Proaktif izleme ve tehdit analitiği uygulamaları oluşturun.
Bu önlemler, ransomware ve EDR killer’larının etkilerini azaltmanın yanı sıra sistem güvenliğini artıracaktır.
