Hyp3rlinx adını kullanan bir araştırmacı, Conti, REvil, LockBit gibi en popüler fidye yazılımı türlerinden bazılarının, diğerleri de dahil olmak üzere, onları DLL ele geçirmeye karşı savunmasız hale getiren bir kusur taşıdığını keşfetti.
Araştırmacı, kusurdan yararlanarak, fidye yazılımının anahtar satış teklifini – dosyaları şifrelemesini engelleyebildi.
tarafından bildirildiği gibi BleeBilgisayar, DLL ele geçirme genellikle meşru uygulamalara kötü amaçlı kodlar enjekte etmek için kullanılır. Ancak bu fidye yazılımı türleri için araştırmacı bir kavram kanıtı oluşturdu ve nasıl yapıldığını gösteren bir demo video kaydetti.
DLL ele geçirme
DLL ele geçirme, uygulamaların Dinamik Bağlantı Kitaplığı (DLL) dosyalarında belleği nasıl arayıp yüklediğini kullanır. Yeterli denetimi olmayan bir program, kendi dizini dışındaki bir yoldan bir DLL yükleyebilir, bu da esasen ayrıcalıkları yükseltir ve rastgele kod yürütülmesine izin verir.
Bu durumda, araştırmacı benzersiz bir kod oluşturdu ve onu fidye yazılımına tanıdık bir adla bir DLL dosyasında derledi. Araştırmacı, DLL’nin fidye yazılımı operatörlerinin genellikle kötü amaçlı yazılımlarını yerleştirdiği ve çalıştırdığı bir konuma, örneğin anahtar verileri içeren bir ağ konumu gibi yerleştirilmesinin de önemli olduğunu vurguluyor.
Bu, fidye yazılımını başlangıcında öldürür.
Bu yöntemi daha da ölümcül yapan şey, bir güvenlik çözümü olarak sınıflandırılamaması ve bu nedenle, fidye yazılımı türlerinin genellikle antivirüs ve diğer siber güvenlik çözümlerini atladığı şekilde atlanamamasıdır.
Asıl soru şu: Bu hafifletme önlemi ne kadar sürecek? Fidye yazılımı operatörleri genellikle ürünlerini günceller ve yükseltir ve bu yeni keşfedilen bir kusursa, düzeltilmesi muhtemelen yalnızca bir zaman meselesidir.
Ne yazık ki, fidye yazılımı operatörleri oldukça hızlı ve gayretlidir ve deliğin geç değil, daha erken kapanmasını bekleyebiliriz.
Aracılığıyla: BleeBilgisayar
