Sophos, fidye yazılımı saldırılarını nadir, kötü amaçlı bir sürücüyle engeller, ancak geçerli bir Microsoft dijital sertifikasıyla imzalanır. Sürücü, Uç Nokta Algılama ve Yanıt (EDR) süreçlerini hedefler. Saldırı, Cuba Ransomware Group ile bağlantılı.
Sophos, meşru dijital sertifikalarla imzalanmış birkaç sürücüde kötü amaçlı kod buldu. Signed Driver Malware adlı yeni bir rapor, Yazılım Güven Zincirini Yukarı Taşıyor, bir fidye yazılımı saldırısı girişimiyle başlayan soruşturmayı ayrıntılarıyla anlatıyor. Saldırganlar, Microsoft'un meşru bir Windows Hardware Compatibility Publisher dijital sertifikasıyla imzalanmış kötü amaçlı bir sürücü kullandı.
Geçerli Microsoft sertifikalarına sahip kötü amaçlı sürücüler
Kötü amaçlı sürücü, özellikle önemli Uç Nokta Algılama ve Yanıt (EDR) yazılım paketleri tarafından kullanılan işlemleri hedefler. Geçen yıl dünya çapında 100'den fazla şirkete başarıyla saldıran üretken bir grup olan Cuba Ransomware Group ile ilişkili tehdit aktörleriyle ilişkili kötü amaçlı yazılım tarafından yüklendi. Sophos Rapid Response, saldırıyı başarıyla püskürttü. Bu soruşturma, harekete geçmek ve tehdidi ortadan kaldırmak için Sophos ve Microsoft arasında kapsamlı bir işbirliğini tetikledi.
Çalıntı sertifika sorunu
Sürücüler, sistemler üzerinde yüksek ayrıcalıklı işlemler gerçekleştirebilir. Diğer şeylerin yanı sıra, çekirdek modu sürücüleri, güvenlik yazılımı da dahil olmak üzere birçok yazılım türünü sonlandırabilir. Hangi sürücülerin yüklenebileceğini kontrol etmek, bilgisayarları bu tür saldırılardan korumanın bir yoludur. Windows, sürücülerin yüklenmeden önce bir kriptografik imza - "onay damgası" - taşımasını gerektirir.
Ancak, sürücüleri imzalamak için kullanılan tüm dijital sertifikalara eşit derecede güvenilir değildir. Bazı çalınan ve sızdırılan dijital imzalama sertifikaları daha sonra kötü amaçlı yazılımları imzalamak için kullanıldı; diğer sertifikalar vicdansız PUA yazılım üreticileri tarafından satın alındı ve kullanıldı. Sophos'un bir fidye yazılımı saldırısı sırasında uç nokta güvenlik araçlarını sabote etmek için kullanılan kötü amaçlı bir sürücüye yönelik araştırması, saldırganların daha az güvenilir dijital sertifikalardan daha güvenilir dijital sertifikalara geçmek için ortak bir çaba kullandığını ortaya çıkardı.
Küba büyük olasılıkla dahil
Sophos'ta tehdit araştırması üst düzey yöneticisi Christopher Budd, "Bu saldırganlar, büyük olasılıkla Küba fidye yazılımı grubunun üyeleri, ne yaptıklarını biliyorlar ve ısrarlılar," dedi. "Hepsi orijinal algılamanın varyantları olan toplam on kötü amaçlı sürücü bulduk. Bu Sürücüler, en eski Sürücü en az Temmuz ayına kadar uzanan bir güvenilirlik artışı için ortak bir çaba göstermektedir. Şimdiye kadar bulduğumuz en eski sürücüler, bilinmeyen Çinli şirketlerden alınan sertifikalarla imzalandı. Bunun ardından sürücüyü geçerli, sızdırılmış ve iptal edilmiş bir NVIDIA sertifikasıyla imzalamayı başardılar.
Artık, Windows ekosistemindeki en güvenilir varlıklardan biri olan Microsoft'un meşru bir Windows Donanım Uyumluluğu Yayıncı Dijital Sertifikası kullanıyorlar. Olaya kurumsal güvenlik açısından bakıldığında, saldırganlara sorgusuz sualsiz binaya girmeleri ve istediklerini yapmaları için geçerli kurumsal kimlik bilgileri verildi," diye devam etti Christopher Budd.
İşlem sonlandırılmaya çalışılıyor
Fidye yazılımı saldırısında kullanılan yürütülebilir dosyaların daha yakından incelenmesi, kötü niyetli imzalı sürücünün, Küba fidye yazılımı grubuna ait olduğu bilinen bir kötü amaçlı yazılım olan BURNTCIGAR yükleyicinin bir çeşidi kullanılarak hedef sisteme indirildiğini ortaya çıkardı. Yükleyici, sürücüyü sisteme indirdikten sonra, temel uç nokta güvenliği ve EDR yazılım paketleri tarafından yaygın olarak kullanılan 186 farklı yürütülebilir dosya adından birinin başlamasını bekler ve ardından bu işlemleri sonlandırmaya çalışır. Başarılı olursa, saldırganlar fidye yazılımını dağıtabilir.
Tüm önemli EDR ürünlerini baypas etme girişimi
Christopher Budd, "2022'de, fidye yazılımı saldırganlarının, çoğu olmasa da büyük üreticilerin EDR ürünlerini giderek daha fazla atlatmaya çalıştığını gözlemledik," diye devam etti Christopher Budd. “En yaygın teknik, BlackByte'ın son zamanlarda kullandığı 'kendi sürücünü getir' olarak biliniyor. Saldırganlar, meşru bir sürücüdeki mevcut bir güvenlik açığından yararlanır. Kötü amaçlı bir sürücüyü sıfırdan oluşturmak ve yasal bir otoriteye imzalatmak çok daha zordur. Ancak başarılı olursa, sürücü sorgulanmadan istediği işlemleri çalıştırabileceği için inanılmaz derecede etkili."
Neredeyse tüm EDR yazılımları savunmasızdır
Bu özel sürücü söz konusu olduğunda, neredeyse tüm EDR yazılımları savunmasızdır. Neyse ki, Sophos'un ek kurcalamaya karşı koruma önlemleri, fidye yazılımı saldırısını durdurabildi. Ek güvenlik önlemleri uygulamak için güvenlik topluluğunun bu tehdidin farkında olması gerekir. Diğer saldırganların da bu modeli taklit edeceği varsayılabilir.”
Daha fazlası Sophos.com'da
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.