İnançlı Modu İstismar Eden Fidye Yazılımı AvosLocker Tehlike Saçıyor

A

admin

Guest
Yeni kuşak siber güvenliğin önderi Sophos, “AvosLocker Remotely Accesses Boxes, Even Running in Safe Mode” başlığıyla yayınladığı araştırma makalesinde AvosLocker ismi verilen fidye yazılımına dair bulgularını paylaştı. Sophos’un araştırması, saldırganların BT sıkıntılarının tahlili sırasında birçok güvenlik ve BT idare aracını devre dışı bırakmalarını sağlayan Windows İnançlı Mod özelliği ve AnyDesk uzaktan idare aracını birlikte kullanarak güvenlik denetimlerini nasıl aşabildiklerine açıklık getiriyor.

AvosLocker, birinci vakit içinderda Haziran 2021’in sonlarında ortaya çıkan ve popülaritesi giderek artan hizmet odaklı yeni bir fidye yazılımı. Sophos Rapid Response takımı şimdiye dek Amerika, Orta Doğu ve Asya Pasifik bölgesinde Windows ve Linux sistemlerini maksat alan AvosLocker akınlarına rastladı.

Sophos Olay Müdahale Grubu Yöneticisi Peter Mackenzie, bilgileri şöyleki aktarıyor:

“AvosLocker’in ardındakiler, AnyDesk’i maksat sistemlere İnançlı Modda çalışacak biçimde yükledikten daha sonra güvenlik tahlili bileşenlerini devre dışı bırakmaya odaklanıyor ve fidye yazılımını aktive ediyorlar. bu biçimdece hedefledikleri tüm sistemler üzerinde kapsamlı uzaktan kontrole sahip oluyorlar. Sophos olarak kelam konusu bileşenlerden kimilerinin fidye yazılımlarını yaymak emeliyle bu türlü birlikte kullanıldığına daha evvel rastlamamıştık. Bu çeşit hücumlarla karşı karşıya kalan BT güvenlik gruplarının, hücumdan etkilenen tüm makinelerdeki AnyDesk kurulumlarının izleri temizlenene kadar riskin devam ettiğinin farkında olmaları gerekiyor.”

Fidye Yazılımı Dağıtım Süreci Nasıl İşliyor?

Fidye yazılımının davranışlarını gözlemleyen Sophos araştırmacıları, atağın amaç makinelerde “love.bat”, “update.bat” yahut “lock.bat” isimli toplu komut belgelerini yürütmek için PDQ Deploy’un kullanımıyla başladığını buldu. Kelam konusu komut evrakları, makineleri fidye yazılımı dağıtımına hazırlayan ve İnançlı Modda bir daha başlatan bir dizi ardışık komut içeriyor.

Yaklaşık beş saniyede tamamlanan komut süreci sırayla aşağıdaki adımları gerçekleştiriyor:

  • Windows güncelleme hizmetleri ve Windows Defender devre dışı bırakılıyor
  • İnançlı Modda çalışabilen ticari güvenlik yazılımı tahlillerine ilişkin bileşenler devre dışı bırakılmaya çalışılıyor
  • Yasal uzaktan idare aracı AnyDesk kuruluyor ve İnançlı Modda çalışacak biçimde ayarlıyor, bu biçimdece saldırganların kullanabileceği komuta denetim altyapısı oluşturuluyor
  • Otomatik oturum açma detaylarıyle yeni bir hesap oluşturuluyor ve “update.exe” isimli yürütülebilir fidye yazılımını uzaktan çalıştırmak için maksadın tesir alanı denetleyicisine bağlanılıyor
AvosLocker tarafınca kullanılan tekniklerin sıradan lakin hayli zekice olduğunu vurgulayan Mackenzie, “Uygulanan yolla fidye yazılımının İnançlı Modda çalıştırılması ve saldırganların makinelere uzaktan erişiminin sürdürülmesi sağlanıyor. Sophos olarak daha evvel Snatch ve BlackMatter’in misal teknikler uyguladığını görmüştük. Lakin bu fidye yazılımı kümelerinin hiç biri İnançlı Moddayken makinelerin komuta ve denetimi için AnyDesk üzere bir uygulama yüklemeye çalışmadı. bu biçimde bir durumla birinci kere karşılaşıyoruz” diyor.

Sophos Intercept X ve öteki Sophos uç nokta güvenlik eserleri, AvosLocker fidye yazılımlarının ve öbür hücumların davranışlarını algılayarak sistemleri inanç altında tutabiliyor.