Siber güvenlik dünyasında, fidye yazılımı saldırıları giderek daha karmaşık ve sinsi hale geliyor. Son dönemde yapılan araştırmalar, ESXi sistemlerini hedef alan fidye yazılımı saldırılarının, bu cihazları yalnızca şifreleme amacıyla değil, aynı zamanda komuta ve kontrol (C2) altyapısına trafik tünellemek ve radar altında kalmak için bir araç olarak kullandığını ortaya koydu. Bu saldırılar, tehdit aktörlerinin uzun vadeli kalıcılık sağlamasına ve güvenlik kontrollerinden kaçınmasına olanak tanıyor.
ESXi Sistemlerinin Fidye Yazılımı Saldırılarında Kullanımı
Sygnia araştırmacıları Aaron (Zhongyuan) Hau ve Ren Jie Yow tarafından hazırlanan bir rapora göre, izlenmeyen ESXi cihazları, kurumsal ağlara geniş erişim sağlamak için bir kalıcılık mekanizması ve ağ geçidi olarak kullanılıyor. Bu cihazlar, tehdit aktörleri tarafından “topraktan geçinme” teknikleriyle hedef alınıyor. Özellikle SSH gibi yerel araçlar kullanılarak, C2 sunucuları ile tehlikeye atılmış ortam arasında bir SOCKS tüneli kuruluyor. Bu yöntem, meşru trafiğe karışarak güvenlik kontrollerini atlatmayı ve saldırganların ağda uzun süre fark edilmeden kalmasını sağlıyor.Araştırmacılar, ESXi cihazlarının dayanıklı yapısı ve nadiren kapatılmaları nedeniyle, bu tünelleme yönteminin ağ içinde yarı kalıcı bir arka kapı görevi gördüğünü belirtiyor. Bu durum, saldırganların ağda sürekli bir varlık oluşturmasına olanak tanıyor.
Fidye Yazılımı Saldırıları Tespiti ve Önlenmesi
Siber güvenlik uzmanları, ESXi sistemlerinin genellikle yönetici kimlik bilgileri kullanılarak veya bilinen bir güvenlik açığından yararlanılarak tehlikeye atıldığını belirtiyor. Daha sonra, SSH veya benzeri araçlarla bir tünel kuruluyor. Bu tür saldırıları tespit etmek için, aşağıdaki günlük dosyalarının düzenli olarak incelenmesi öneriliyor:
- /var/log/shell.log: ESXi kabuk etkinlik günlüğü
- /var/log/hostd.log: Ana bilgisayar aracı günlüğü
- /var/log/auth.log: Kimlik doğrulama günlüğü
- /var/log/vobd.log: VMware gözlemci daemon günlüğü
Ayrıca, ESXi kayıtlarının izlenmesindeki zorluklara dikkat çekilerek, adli soruşturmalar için tüm ilgili olayların tek bir yerde toplanmasını sağlamak amacıyla kayıt yönlendirme yapılandırmasının gerekliliği vurgulanıyor.
Kuzey Kore Bağlantılı Andariel Grubu ve RID Kaçırma Tekniği
Bu gelişmelerin yanı sıra, AhnLab Güvenlik İstihbarat Merkezi (ASEC), Kuzey Kore bağlantılı Andariel grubunun Göreceli Tanımlayıcı (RID) ele geçirme tekniğini kullandığını açıkladı. Bu teknik, bir sonraki oturum açma sırasında düşük ayrıcalıklı bir hesaba yönetici izinleri atamak için Windows Kayıt Defteri’ni gizlice değiştiriyor. Ancak bu yöntemin uygulanabilmesi için saldırganın önceden bir makineyi tehlikeye atmış ve yönetici veya SİSTEM ayrıcalıkları elde etmiş olması gerekiyor. RID kaçırma yöntemi, tehdit aktörlerinin tespit edilmeden kötü amaçlı eylemler gerçekleştirmesine olanak tanıyor. Örneğin, saldırganlar PsExec ve JuicyPotato gibi araçlarla SİSTEM ayrıcalıkları elde ettikten sonra, yeni bir hesap oluşturup bu hesaba yönetici ayrıcalıkları atayabiliyor. Daha sonra, bu hesap “net localgroup” komutuyla Uzak Masaüstü Kullanıcıları grubuna eklenerek RDP erişimi sağlanıyor.
EDR Algılamalarını Aşmak İçin Yeni Teknikler
Son olarak, saldırganların, Windows için Olay İzleme (ETW) algılamalarını aşmak için donanım kesme noktalarına dayalı yeni bir teknik geliştirdiği keşfedildi. Bu yöntem, ETW günlük kaydı ve olaylarını tetiklemekten kaçınmak için SetThreadContext yerine NtContinue adlı bir Windows işlevini kullanmayı içeriyor. Bu teknik, saldırganların geleneksel savunmaları atlatmasına ve telemetriyi manipüle etmesine olanak tanıyor.Praetorian araştırmacısı Rad Kawar, bu yöntemin saldırganların gizliliği koruyarak AMSI taramasını ve ETW kayıtlarını engelleyen “yamasız” kancalar uygulamasına olanak tanıdığını belirtiyor. Bu durum, özellikle gelişmiş tehdit aktörlerinin savunma mekanizmalarını aşmak için kullandığı yenilikçi yöntemlere dikkat çekiyor.
Fidye Yazılımları: Çeşitleri ve En Çok Bilinen Örnekler
Fidye yazılımları (ransomware), günümüzün en tehlikeli ve yaygın siber tehditlerinden biridir. Bu kötü amaçlı yazılım türü, kullanıcıların cihazlarını veya verilerini kilitleyerek ya da şifreleyerek erişimi engeller ve genellikle bu erişimi geri vermek için fidye talep eder. Siber suçlular, fidye yazılımlarını hem bireysel kullanıcıları hem de büyük şirketleri hedef almak için kullanır. Peki, fidye yazılımları nasıl çalışır, hangi türleri vardır ve en çok bilinen fidye yazılımları hangileridir? İşte detaylar:
Fidye Yazılımı Nedir ve Nasıl Çalışır?
Fidye yazılımları, genellikle bir cihazın dosyalarını şifreleyerek veya cihazın tamamını kilitleyerek kullanıcıların erişimini engeller. Bu yazılımlar, kullanıcıya bir mesaj göstererek belirli bir miktar para (genellikle kripto para birimi) karşılığında dosyaların şifresini çözme veya cihazın kilidini açma sözü verir. Ancak, fidye ödense bile verilerin geri alınacağına dair bir garanti yoktur.Fidye yazılımları genellikle şu yollarla bulaşır:
- Kimlik avı e-postaları: Kullanıcıları kandırarak zararlı bağlantılara tıklamalarını sağlar.
- Güvenlik açıkları: Güncellenmemiş yazılımlar veya sistemlerdeki açıklar kullanılarak cihazlara sızılır.
- Sahte yazılımlar: Kullanıcıların güvenilir bir yazılım olduğunu düşündükleri sahte programlar aracılığıyla bulaşır.
Fidye Yazılımı Çeşitleri
Fidye yazılımları, işleyiş biçimlerine göre farklı kategorilere ayrılır. İşte en yaygın fidye yazılımı türleri:
- Şifreleme Tabanlı Fidye Yazılımları (Crypto Ransomware)
Bu tür fidye yazılımları, cihazdaki dosyaları şifreler ve kullanıcıdan şifre çözme anahtarı için fidye talep eder. Örneğin, CryptoLocker bu türün en bilinen örneklerinden biridir. - Kilitlenme Tabanlı Fidye Yazılımları (Locker Ransomware)
Locker türü fidye yazılımları, cihazın tamamını kilitler ve kullanıcıların cihazlarını kullanmasını engeller. Ancak, dosyalar genellikle şifrelenmez. Reveton bu türün bilinen bir örneğidir. - Mobil Fidye Yazılımları
Akıllı telefonları hedef alan bu yazılımlar, cihazın ekranını kilitleyebilir veya dosyaları şifreleyebilir. Mobil cihazların artan kullanımıyla birlikte bu tür saldırılar da yaygınlaşmıştır. - Çift Fidye Yazılımları (Double Extortion)
Bu tür fidye yazılımları, yalnızca dosyaları şifrelemekle kalmaz, aynı zamanda verileri çalar ve fidye ödenmezse bu verileri ifşa etmekle tehdit eder. Maze fidye yazılımı bu yöntemi popüler hale getirmiştir.
En Çok Bilinen Fidye Yazılımları
Fidye yazılımları arasında bazıları, dünya çapında büyük etkilere neden olmuş ve adını duyurmuştur. İşte en çok bilinen fidye yazılımlarından bazıları:
- CryptoLocker
2013 yılında ortaya çıkan bu fidye yazılımı, şifreleme tabanlı saldırıların öncülerinden biridir. Kullanıcıların dosyalarını şifreleyerek fidye talep eder. - WannaCry
2017 yılında dünya çapında büyük bir etki yaratan WannaCry, Windows işletim sistemlerindeki bir güvenlik açığını kullanarak yayıldı. Bu saldırı, özellikle sağlık sektöründe büyük zararlara yol açtı. - Petya ve NotPetya
Petya, cihazın tamamını kilitleyen bir fidye yazılımıdır. NotPetya ise daha yıkıcı bir versiyondur ve genellikle fidye talep etmekten ziyade sistemleri tamamen devre dışı bırakmayı hedefler. - Locky
E-posta yoluyla yayılan bu fidye yazılımı, kullanıcıların dosyalarını şifreler ve fidye talep eder. Özellikle 2016 yılında oldukça yaygınlaşmıştır. - GandCrab
2018 yılında ortaya çıkan GandCrab, kısa sürede popüler hale gelmiş ve birçok farklı sürümü yayımlanmıştır. Siber suçlular, bu yazılımı bir hizmet olarak sunarak diğer saldırganların da kullanmasını sağlamıştır.
Sonuç
Fidye yazılımı saldırıları, yalnızca verileri şifrelemekle kalmayıp, aynı zamanda ağlarda uzun vadeli kalıcılık sağlamak ve güvenlik önlemlerini atlatmak için giderek daha karmaşık yöntemler kullanıyor. Fidye yazılımı saldırıları tarafından ESXi sistemlerinin hedef alınması, RID kaçırma teknikleri ve ETW algılamalarını aşmaya yönelik yeni yaklaşımlar, siber güvenlik dünyasında karşılaşılan tehditlerin boyutunu gözler önüne seriyor. Bu tür saldırılara karşı etkili bir savunma için, sistemlerin düzenli olarak izlenmesi, güvenlik açıklarının kapatılması ve olay müdahale süreçlerinin güçlendirilmesi büyük önem taşıyor.
foto: gettyimages, press9
Siber Güvenlik
