Tehdit aktörleri, kötü amaçlı yazılımları hedef sistemlere gizlice sokmaya çalışmak için sahte Microsoft ve Google yazılım güncellemelerini giderek daha fazla kullanıyor.
En son örnek, Trend Micro araştırmacılarının kısa süre önce bir Google Yazılım Güncelleme uygulaması kılığında keşfettiği yeni bir fidye yazılımı aracı olan “HavanaCrypt”. Trend Micro’ya göre kötü amaçlı yazılımın komut ve kontrol (C2) sunucusu, fidye yazılımı için biraz nadir görülen bir Microsoft Web barındırma IP adresinde barındırılıyor.
Ayrıca, araştırmacılara göre, HavanaCrypt’in sanal bir ortamda çalışıp çalışmadığını kontrol etmeye yönelik birçok tekniği de dikkate değerdir; kötü amaçlı yazılımın şifreleme sırasında açık kaynak anahtar yöneticisi KeePass Password Safe’den kod kullanması; ve şifrelemeyi hızlandırmak için “QueueUserWorkItem” adlı bir .Net işlevinin kullanılması. Trend Micro, kötü amaçlı yazılımın muhtemelen devam eden bir çalışma çünkü virüslü sistemlere fidye notu düşmez.
HavanaCrypt, son aylarda Windows 10, Microsoft Exchange ve Google Chrome için sahte güncellemeler şeklinde dağıtılan, giderek artan sayıda fidye yazılımı aracı ve diğer kötü amaçlı yazılımlar arasında yer alıyor. Mayıs ayında, güvenlik araştırmacıları “Magniber” adlı fidye yazılımının ortalıkta dolaştığını tespit etti. Windows 10 güncellemeleri olarak gizlenmiş. Bu yılın başlarında, Malwarebytes araştırmacıları, Magnitude Exploit Kit operatörlerinin, kötü amaçlı yazılımı bir Microsoft Kenar güncellemesi.
Malwarebytes’in o sırada belirttiği gibi, sahte Flash güncellemeleri, Adobe nihayet güvenlik endişeleri nedeniyle teknolojiyi emekli edene kadar Web tabanlı kötü amaçlı yazılım kampanyalarının bir parçasıydı. O zamandan beri saldırganlar, kullanıcıları kötü amaçlı yazılımlarını indirmeleri için kandırmaya çalışmak için sık sık güncellenen diğer yazılım ürünlerinin sahte sürümlerini kullanıyor – tarayıcılar en sık kötüye kullanılanlardan biri.
Intel 471’de anonimlik isteyen bir analist, sahte yazılım güncellemeleri oluşturmak saldırganlar için önemsizdir, bu nedenle bunları fidye yazılımı, bilgi hırsızları ve Truva atları dahil tüm kötü amaçlı yazılım sınıflarını dağıtmak için kullanma eğilimindeler. Analist, “Teknik olmayan bir kullanıcı bu tür tekniklerle kandırılabilir, ancak SOC analistleri veya olay yanıtlayıcıları muhtemelen kandırılmayacak” diyor.
Güvenlik uzmanları, kuruluşların fidye yazılımlarına ve diğer tehditlere karşı savunmak için çok katmanlı savunmalara sahip olması gerektiğini uzun zamandır belirtiyorlar. Bu, uç nokta tespiti ve yanıtı için kontrollere sahip olmayı, kullanıcı ve varlık davranışı izleme yeteneklerini, hasarı en aza indirmek ve yanal hareketi sınırlamak için ağ bölümlendirmeyi, şifrelemeyi ve çok faktörlü kimlik doğrulama dahil olmak üzere güçlü kimlik ve erişim kontrolünü içerir.
Saldırganlar genellikle son kullanıcıları hedef aldığından, kuruluşların kullanıcıları kimlik avı riskleri ve kötü amaçlı yazılım indirmelerini veya kimlik bilgisi toplama sitelerine giden bağlantıları izlemelerini sağlamak için tasarlanmış sosyal mühendislik dolandırıcılıkları hakkında eğitmek için güçlü uygulamaları olması da kritik öneme sahiptir.
HavanaCrypt Nasıl Çalışır?
HavanaCrypt, kodunu gizlemek için Obfuscar adlı açık kaynaklı bir araç kullanan .Net kötü amaçlı yazılımıdır. Bir sisteme dağıtıldıktan sonra HavanaCrypt önce sistemde “GoogleUpdate” kaydının bulunup bulunmadığını kontrol eder ve yalnızca kötü amaçlı yazılım kayıt defterinin mevcut olmadığını belirlerse rutinine devam eder.
Kötü amaçlı yazılım daha sonra, virüslü makinenin sanallaştırılmış bir ortamda olup olmadığını belirlemek için dört aşamalı bir süreçten geçer. İlk olarak, sanal makinelerin tipik olarak kullandığı VMWare Tools ve vmmouse gibi hizmetler için sistemi kontrol eder. Ardından sanal uygulamalarla ilgili dosyaları arar ve ardından sanal ortamlarda kullanılan belirli dosya adlarını kontrol eder. Son olarak, virüslü sistemlerin MAC adresini, tipik olarak sanal makine ayarlarında kullanılan benzersiz tanımlayıcı önekleriyle karşılaştırır. Trend Micro, kontrollerden herhangi birinin virüslü makinenin sanal bir ortamda olduğunu gösteriyorsa, kötü amaçlı yazılımın kendisini sonlandırdığını söyledi.
HavanaCrypt sanal bir ortamda çalışmadığını belirlediğinde, kötü amaçlı yazılım meşru bir Microsoft Web barındırma hizmetinde barındırılan bir C2 sunucusundan bir toplu iş dosyası alır ve yürütür. Toplu iş dosyası, Windows Defender’ı algılanan tehditlere izin verecek şekilde yapılandırmak için komutlar içerir. Kötü amaçlı yazılım ayrıca birçoğu SQL ve MySQL gibi veritabanı uygulamalarıyla veya Microsoft Office gibi masaüstü uygulamalarıyla ilgili olan uzun bir süreç listesini de durdurur.
HavanaCrypt’in sonraki adımları, virüslü sistemlerdeki gölge kopyaları silme, verileri geri yükleme işlevlerini silme ve sistemin sahip olduğu işlemci sayısı, işlemci türü, ürün numarası ve BIOS sürümü gibi sistem bilgilerini toplamayı içerir. Kötü amaçlı yazılım, şifreleme işleminin bir parçası olarak QueueUserWorkItem işlevini ve KeePass Password Safe kodunu kullanır.
Intel 471’den analist, “QueueUserWorkItem, iş parçacığı havuzları oluşturmak için standart bir tekniktir,” diyor. “İş parçacığı havuzlarının kullanılması, kurban makinedeki dosyaların şifrelenmesini hızlandıracaktır.”
Fidye yazılımı yazarı, KeePass ile şifre yöneticisi aracından kod kopyaladı ve bu kodu fidye yazılımı projesinde kullandı. Analist, “Kopyalanan kod, sözde rasgele şifreleme anahtarları oluşturmak için kullanılıyor” diyor. “Şifreleme anahtarları öngörülebilir, tekrarlanabilir bir şekilde oluşturulmuşsa, kötü amaçlı yazılım araştırmacılarının şifre çözme araçları geliştirmesi mümkün olabilir.”
Saldırganın C2 sunucusu için bir Microsoft barındırma hizmeti kullanması, saldırganların algılamadan kaçınmak için kötü amaçlı altyapıyı meşru hizmetlerde gizleme eğilimini vurgular. Netenrich’in baş tehdit avcısı John Bambinek, “Bugün bulut ortamlarında Amazon, Google veya Microsoft ve diğer pek çok yerde barındırılan çok fazla kötülük var” diyor. “Ortamların son derece geçici doğası itibar sistemlerini işe yaramaz hale getiriyor.”