Teknoloji Haberleri 1 0

Sistemler Arasında Hayalet Üzere Dolaşan Fidye Yazılımı Keşfedildi!

Sophos, Ragnar Locker isimli fidye yazılımının güvenlik sistemlerinin kontrolünden kaçmak için uyguladığı enteresan bir sistemi ortaya çıkardı. Laf konusu fidye yazılımı kendini gizlemek için maksat aldığı tüm sistemlerde kapsamlı birer sanal makine oluşturuyor ve tüm faaliyetlerini bu sanal makine aracılığıyla gerçekleştiriyor.

Yeni keşfedilen atakta Ragnar Locker’in ele geçirdiği sistemleri GPO aracılığıyla 122 MB’lık hususî tasarlanmış, imzasız bir MSI paketini yüklemeye zorladığı tespit edildi. Paket 5 Ağustos 2009 tarihli Sun xVM VirtualBox Version 3.0.4 platformu ve Windows XP SP3 işletim sisteminin kırpılmış bir sürümü olan MicroXP v0.82’nin disk imajından oluşuyor. Bu imajın içinde 49 KB’lık Ragnar Locker fidye yazılımı mekan alıyor.

Ragnar Locker’in ardındaki şahıslar, sızdıkları ağlarda fidye saldırısını başlatmadan evvel para koparma talihini artırmak için done hırsızlığı yapmalarıyla biliniyor. Nisan ayında Portekizli güç dağıtım şirketi Energias de Portugal’ı amaç alan siber saldırganlar, 10 TB büyüklüğünde hassas şirket verisinin ellerinde olduğunu söyleyerek yaklaşık 11 milyon dolara karşılık gelen 1,580 Bitcoin talep etmişlerdi.

Gerçek Yerküreyle Etkileşim Kurabilen Bir Hayalet Üzere

Ragnar Locker kümesi, gözlerine kestirdikleri ağda başkan salahiyetlerini ele geçirmek için öncelikle yönetilen servis sağlayıcıların açıklarını yahut Windows Uzak Masaüstü Protokolünü (RDP) maksat alan akınlar gerçekleştiriyor. Giriş yaptıktan sonra Powershell ve Windows Group Policy Objects (GPO) üzere Windows idare araçlarını kullanarak ağ içindeki Windows sunucu ve istemcileri arasında sinsice ilerliyor ve sanal makine kurulumlarını gerçekleştiriyor. Sürecin muvaffakiyetle gerçekleşmesini takiben fidye yazılımı içinde yüklü olarak yedekleme, olgu tabanı, iş ve uzaktan idare tatbiklerinin bulunduğu 50 civarında süreç ve hizmeti durdurarak üzerlerinde çalıştıkları belgeleri erişime açık hale getiriyor. Akabinde şifreleme sürecini gerçekleştiriyor. Tüm süreçler sanal makine üzerinden gerçekleştiği için fizikî makinedeki güvenlik sistemleri sürece müdahale edemiyor.

Sophos Tehdit Tedbire Mühendislik Yöneticisi Mark Loman, bahse dair şunları söylüyor: “Geçtiğimiz birkaç ay içinde fidye yazılımlarının farklı cihetlerde geliştiğini gözlemledik. Lakin Ragnar Locker bu işi hakikaten farklı bir seviyeye taşıdı. Emniyetli hipervizörleri eşzamanlı olarak yüzlerce uç noktaya yerleştirip içinde sakladıkları fidye yazılımının işini yapmasını garanti altına alıyorlar. Bu sanal makineler gerçek yerküreyle etkileşim kurabilen birer hayalet üzere sistemler arasında birden fazla güvenlik yazılımı tarafından tespit edilmeden süzülerek mahallî makinelerdeki ve ağ üzerindeki diskleri şifreliyor. Uygulanan usul 50 KB’lık bir fidye yazılımını saklamak için biraz çokça karmaşık ve zahmetli görünse de, fidye yazılımlarına karşı kâfi müdafaası olmayan ağlarda işe yaradığını gözlemliyoruz.”

Kaynak: Chip

{admin}

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir