Sistemler ortasında hayalet üzere dolaşan fidye yazılımı

Sistemler ortasında hayalet üzere dolaşan fidye yazılımı 1

Sophos, Ragnar Locker isimli fidye yazılımının güvenlik sistemlerinin kontrolünden kaçmak için uyguladığı enteresan bir formülü ortaya çıkardı. Kelam konusu fidye yazılımı kendini gizlemek için maksat aldığı tüm sistemlerde kapsamlı birer sanal makine oluşturuyor ve tüm faaliyetlerini bu sanal makine aracılığıyla gerçekleştiriyor.

Yeni keşfedilen taarruzda Ragnar Locker’in ele geçirdiği sistemleri GPO aracılığıyla 122 MB’lık özel tasarlanmış, imzasız bir MSI paketini yüklemeye zorladığı tespit edildi. Paket 5 Ağustos 2009 tarihli Sun xVM VirtualBox Version 3.0.4 platformu ve Windows XP SP3 işletim sisteminin kırpılmış bir sürümü olan MicroXP v0.82’nin disk imajından oluşuyor. Bu imajın içinde 49 KB’lık Ragnar Locker fidye yazılımı yer alıyor.

Ragnar Locker’in ardındaki bireyler, sızdıkları ağlarda fidye saldırısını başlatmadan evvel para koparma bahtını artırmak için bilgi hırsızlığı yapmalarıyla biliniyor. Nisan ayında Portekizli güç dağıtım şirketi Energias de Portugal’ı maksat alan siber saldırganlar, 10 TB büyüklüğünde hassas şirket verisinin ellerinde olduğunu söyleyerek yaklaşık 11 milyon dolara karşılık gelen 1,580 Bitcoin talep etmişlerdi.

Gerçek Dünyayla Etkileşim Kurabilen Bir Hayalet Üzere

Ragnar Locker kümesi, gözlerine kestirdikleri ağda yönetici yetkilerini ele geçirmek için öncelikle yönetilen servis sağlayıcıların açıklarını yahut Windows Uzak Masaüstü Protokolünü (RDP) amaç alan hücumlar gerçekleştiriyor. Giriş yaptıktan sonra Powershell ve Windows Group Policy Objects (GPO) üzere Windows idare araçlarını kullanarak ağ içindeki Windows sunucu ve istemcileri ortasında sinsice ilerliyor ve sanal makine kurulumlarını gerçekleştiriyor. Sürecin muvaffakiyetle gerçekleşmesini takiben fidye yazılımı içinde yüklü olarak yedekleme, bilgi tabanı, iş ve uzaktan idare uygulamalarının bulunduğu 50 civarında süreç ve hizmeti durdurarak üzerlerinde çalıştıkları evrakları erişime açık hale getiriyor. Akabinde şifreleme sürecini gerçekleştiriyor. Tüm süreçler sanal makine üzerinden gerçekleştiği için fizikî makinedeki güvenlik sistemleri sürece müdahale edemiyor.

Sophos Tehdit Tedbire Mühendislik Yöneticisi Mark Loman, mevzuya dair şunları söylüyor: “Geçtiğimiz birkaç ay içinde fidye yazılımlarının farklı taraflarda geliştiğini gözlemledik. Lakin Ragnar Locker bu işi nitekim farklı bir düzeye taşıdı. Emniyetli hipervizörleri eşzamanlı olarak yüzlerce uç noktaya yerleştirip içinde sakladıkları fidye yazılımının işini yapmasını garanti altına alıyorlar. Bu sanal makineler gerçek dünyayla etkileşim kurabilen birer hayalet üzere sistemler ortasında birden fazla güvenlik yazılımı tarafından tespit edilmeden süzülerek mahallî makinelerdeki ve ağ üzerindeki diskleri şifreliyor. Uygulanan sistem 50 KB’lık bir fidye yazılımını saklamak için biraz fazla karmaşık ve zahmetli görünse de, fidye yazılımlarına karşı kâfi müdafaası olmayan ağlarda işe yaradığını gözlemliyoruz.”

Bir Cevap Yazın