ALPHV fidye yazılımı grubu (diğer adıyla Blackcat), saldırılar sırasında güvenlik yazılımı tarafından algılamadan kaçınmak için imzalı kötü niyetli pencereler çekirdek sürücüleri kullanılarak gözlendi.
Trend Micro tarafından görülen sürücü, geçen yılın sonlarında fidye yazılımı saldırılarında Microsoft, Mantiant, Sophos ve Sentinelone'un 'Noirttry' olarak bilinen kötü amaçlı yazılımların geliştirilmiş bir versiyonudur.
Fourntry kötü amaçlı yazılım, Microsoft'un Windows Donanım Geliştirici programındaki meşru hesaplara ait çalıntı anahtarlar kullanılarak imzalanmış bir Windows çekirdek sürücüsüdür.
Bu kötü niyetli sürücü, algılamadan kaçınmak için bir Windows cihazında çalışan güvenlik yazılımını sonlandırmak için 0KTAPUS ve dağınık örümcek olarak da bilinen UNC3944 hackleme grubu tarafından kullanıldı.
Güvenlik yazılımı genellikle sonlandırılmaktan veya tahrif edilmekten korunurken, Windows çekirdek sürücüleri işletim sistemindeki en yüksek ayrıcalıklarla çalıştığından, neredeyse her işlemi sonlandırmak için kullanılabilir.
Trend Micro, fidye yazılımı aktörlerinin Microsoft tarafından imzalanan fakir sürücüyü kullanmaya çalıştığını, ancak algılama oranlarının aldığı tanıtımdan sonra ve kod imzalama anahtarlarının iptal edildikten sonra yüksek olduğunu söyledi.
Bu nedenle, bilgisayar korsanları, çalınan veya sızdırılmış bir çapraz imzalama sertifikası kullanılarak imzalanan fakir çekirdek sürücüsünün güncellenmiş bir sürümünü konuşlandırdı.
Blackcat fidye yazılımı işlemi tarafından kullanılan yeni sürücü, güvenliği ihlal edilmiş makinelerdeki ayrıcalıklarını yükseltmelerine ve daha sonra güvenlik aracılarıyla ilgili süreçleri durdurmalarına yardımcı olur.
Ayrıca, fidye yazılımı çetesi ile UNC3944/dağınık örümcek hackleme grupları arasında gevşek bir bağlantı sağlayabilir.
Şubat 2023 Blackcat saldırılarında trend micro tarafından görülen imzalı sürücü, 'KTGN.sys', kurbanın dosya sistemine % Temp % klasöründe düştü ve daha sonra 'tjr.exe' adlı bir kullanıcı modu programı tarafından yüklendi.
Analistler KTGN.SYS'in dijital imzasının iptal edildiğini söylüyor; Bununla birlikte, sürücü, zorunlu imza politikalarına sahip 64 bit Windows sistemlerinde sorunsuz bir şekilde yüklenecektir.
Kötü amaçlı çekirdek sürücüsü, kullanıcı modu istemcisi TJR.EXE'nin sürücünün Windows çekirdek ayrıcalıklarıyla yürütüleceğine dair komutlar yayınlamasına izin veren bir IOCTL arabirimi ortaya çıkarır.
"Bir kullanıcı bu sürücüyle arayüz oluşturduğunda ne olacağına dair analizimizden, sistemde yüklenen güvenlik aracısı süreçlerini öldürmek için kullanılan maruz kalan cihaz girişi ve çıkış kontrolü (IOCTL) kodu - öldürme işleminden sadece birini kullandığını gözlemledik. , "trend mikro raporunu açıklıyor.
Trend Micro'nun analistleri, sürücüye verilebilecek açıkta kalan komutları gözlemledi:
Trend Micro, işlem/iş parçacığı bildirimi geri aramaları için kullanılan iki komutun çalışmadığını, sürücünün şu anda geliştirildiğini veya hala bir test aşamasında olduğunu gösteriyor.
Sistem yöneticilerinin trend mikro tarafından paylaşılan uzlaşma göstergelerini kullanmaları ve fidye yazılımı aktörleri tarafından kullanılan kötü amaçlı sürücüleri Windows sürücü blok listesine eklemeleri önerilir.
Windows yöneticileri ayrıca, geçerli bir dijital imzası olmayan sürücülerin kurulumunu engelleyen 'sürücü imzası uygulanmasının' etkin olmasını sağlamalıdır.
Alphv Gang, Takım Anlatım Yazılımına Fidye Yazılımı Saldırısı İddia ediyor
NCR, Blackcat Fidye Yazılımı Saldırısı'ndan sonra Aloha POS kesintisi yaşıyor
Alphv Ransomware, ilk erişim için veritas backup exec hatalarını istismar ediyor
Western Digital, bilgisayar korsanlarının Mart ayında müşteri verilerini çaldığını söylüyor
Fidye Yazılımında Hafta - 5 Mayıs 2023 - Kamu Sektörünü Hedefleme
Kaynak: Bleeping Computer