Giriş
Son dönemde, Qilin ve Warlock fidye yazılımları, sistem güvenliğini aşmak için, “bring your own vulnerable driver” (BYOVD) tekniğini kullanarak dikkat çekmektedir. Bu tür saldırılar, birçok kuruluş için ciddi tehditler oluşturarak güvenlik araçlarını devre dışı bırakabilmektedir.
Saldırı Nasıl Çalışıyor?
Qilin saldırıları, Cisco Talos ve Trend Micro tarafından analiz edildiğinde, aşağıdaki yöntemlerin kullanıldığını göstermektedir:
- msimg32.dll adlı kötü amaçlı bir DLL dosyası dağıtılmakta, bu da çok aşamalı bir enfeksiyon zincirini başlatmaktadır.
- Bu DLL, EDR çözümlerini devre dışı bırakmak için 300’den fazla EDR sürücüsünü sonlandırabilmektedir.
- DLL yükleyici, çeşitli algılama önleme teknikleri kullanarak, kullanıcı düzeyinde kancaları nötralize eder ve ETW olay günlüklerini bastırır.
Bu aşamalar, tehdit aktörlerinin EDR sistemlerini nasıl atlatabileceğini ve saldırı sürecinde ne kadar sofistike yollar kullandığını göstermektedir.
Etkilenen Sistemler
Qilin fidye yazılımı ile ilgili yapılan istatistiklere göre, bu grup, 2025 yılında Japonya’da bildirilen 134 fidye yazılımı olayının 22’sinde, yani %16.4 oranında, etkili olmuştur. Fidye yazılımı, genellikle çalınan kimlik bilgileri aracılığıyla sızma sağlamakta ve kuruluştan sonra kontrolü artırma çabasında bulunmaktadır.
Çözüm ve Korunma
Organizasyonların BYOVD tehditlerine karşı alabileceği önlemler şunlardır:
- Sadece belgeli sürücülerin yüklenmesine izin vermek.
- Sürücü yükleme etkinliklerini izlemek.
- Güvenlik yazılımlarını düzenli olarak güncellemek, özellikle sürücü tabanlı bileşenler için.
Ayrıca, Warlock grubunun, Microsoft SharePoint sunucularındaki açıkları kullanarak saldırılar gerçekleştirdiği unutulmamalıdır. Bu nedenle, organizasyonların proaktif bir güvenlik stratejisi benimsemesi kritik öneme sahiptir.
Sonuç
Organizasyonların, her türlü saldırıya karşı savunmasını güçlendirmek adına güncellemeleri ihmal etmemesi, portları kapatması ve güvenlik yazılımlarını etkin bir şekilde yönetmesi gerekmektedir. EDR sistemlerini göz ardı etmemek ve güncel tehditlere karşı hazırlıklı olmak, siber güvenlik işlevselliği için kritik rol oynamaktadır.
