Bilgisayar korsanları, erişim elde etmek için kurumsal ağlardaki güvenlik açıklarından yaygın olarak yararlanır, ancak bir araştırmacı bugün en yaygın fidye yazılımı ve kötü amaçlı yazılımlarda istismar bularak masayı çevirmiştir.
Conti, canlandırılan Revil, yeni gelen Black Basta, son derece aktif kilitbit veya avoslocker gibi kötü şöhretli fidye yazılımı işlemlerinden kötü amaçlı yazılım, saldırının son ve en zararlı adımını durdurmak için sömürülebilecek güvenlik sorunlarıyla birlikte geldi.
Bu fidye yazılımı çetelerinden kötü amaçlı yazılım suşlarını analiz etmek, Hyp3rlinx adlı bir güvenlik araştırmacısı, örneklerin DLL kaçırmaya karşı savunmasız olduğunu buldu, bu da genellikle saldırganlar tarafından kötü amaçlı kod enjekte etmek için saldırganlar tarafından kaldırılan bir yöntem.
Analiz edilen her kötü amaçlı yazılım için araştırmacı, bulunan güvenlik açığı türünü, örneğin karma, bir kavram kanıtı (POC) istismarını ve bir demo videosunu açıklayan bir rapor sunmaktadır.
DLL kaçırma yalnızca Windows sistemlerinde çalışır ve uygulamaların ihtiyaç duydukları Dinamik Bağlantı Kütüphanesi (DLL) dosyalarını arama ve yükleme şeklini kullanır.
Yetersiz kontrollere sahip bir program, dizininin dışındaki bir yoldan bir DLL yükleyebilir, ayrıcalıkları yükseltebilir veya istenmeyen kodu yürütebilir.
Conti, Revil, Lockbit, Black Basta, Lockilocker ve Avoslocker'dan gelen savunmasız fidye yazılımı örnekleri için araştırmacı, istismarlarının kod yürütmenin “kötü amaçlı yazılım ön şifrelemesini kontrol etmesine ve sonlandırmasına” izin verdiğini söylüyor.
Yukarıdaki çetelerden kötü amaçlı yazılımlardaki güvenlik açıklarından yararlanmak için araştırmacı, kötü amaçlı kodun kendisi olarak tanıyması ve verileri şifrelemeye başlaması için yüklemesi için belirli bir adla bir DLL'de derlenmesi gereken istismar kodu oluşturdu.
Aşağıda, şifreleme işlemi başlamadan önce kötü amaçlı yazılımları sonlandırmak için Revil Ransomware'deki bir DLL kaçırma kırılganlığından yararlanan bir video bulunmaktadır.
Bu fidye yazılımı ailelerine karşı savunmak için Hyp3rlinx, DLL'nin siber suçluların önemli verilere sahip bir ağ konumu gibi fidye yazılımlarını çalıştıracağı bir yere yerleştirilebileceğini söylüyor.
İstismar DLL yüklendikten sonra, veri şifreleme işlemini başlatmadan önce fidye yazılımı işlemi sona ermelidir.
Araştırmacı, kötü amaçlı yazılımların güvenliği ihlal edilen makinede güvenlik çözümlerini sonlandırabilse de, yüklenene kadar sadece ana bilgisayarın diskinde depolanan dosyalar oldukları için DLL'lere karşı hiçbir şey yapamayacağını belirtiyor.
Fidye yazılımı kötü amaçlı Hyperlinx'in hangi sürümlerin DLL kaçırmaya karşı savunmasız olduğu belirsizdir.
Örnekler yeni ise, istismarın sadece kısa bir süre için çalışması muhtemeldir, çünkü fidye yazılımı çeteleri, özellikle kamusal alana çarptıklarında hataları düzeltmek için hızlıdır.
Bu bulgular bir süre daha yaşayabilir olsa bile, fidye yazılımı çeteleri tarafından hedeflenen şirketler, kurbanı bir fidye ödemeye baskı yapmaya zorlamak için önemli dosyaların çalınması ve sızdırılması riskini taşıyor.
Bununla birlikte, Hyperlinx'in istismarları en azından operasyonel bozulmayı önlemek için yararlı olabilir, bu da önemli hasara neden olabilir.
Hyp3rlinx’in çalışmalarını, Truva atlarından ve arka fırınlardan casus yazılım ve infostealers'a kadar çeşitli kötü amaçlı yazılım parçalarında güvenlik açıkları bulmaya odaklanan Malvuln projesi altında izler.
Araştırmacıdan Güvenlik Açıkları Araştırmacısının son raporu, bilgisayar korsanı forumlarında yaygınlaşan bir bilgi çalan Redline içindir.
Web tarayıcılarından, mesajlaşma platformlarından (telgraf, anlaşmazlık), FTP istemcileri, Steam gibi hassas bilgileri toplar ve ayrıca kripto para cüzdanlarını hedefler.
Analiz edilen fidye yazılımı örnekleri için güvenlik açığı raporları: Conti, Revil, Lockbit, Black Basta, Lockilocker ve Avoslocker.
Revil Ransomware Üyesi, Kaseya saldırısı için yargılanmak üzere ABD'ye iade edildi
Ransomware'de Hafta - 15 Nisan 2022 - Rusya'yı Şifreleme
Ransomware'de Hafta - 25 Mart 2022 - Kritik Altyapı
Şifreleme hızı testine koyulan on kötü şöhretli fidye yazılımı suşu
3 ay boyunca 722 saldırıda kullanılan düzinelerce fidye yazılımı varyantı
Kaynak: Bleeping Computer