Güvenli Modu İstismar Eden Fidye Yazılımı AvosLocker Tehlike Saçıyor

Güvenli Modu İstismar Eden Fidye Yazılımı
AvosLocker Tehlike Saçıyor

Sophos güvenlik araştırmacıları, sistemleri güvenli moda alarak pek çok güvenlik bileşenini devre dışı bırakabilen ve AnyLocker uzaktan destek yazılımını komuta kontrol erişim noktası olarak kullanan AvosLocker adlı yeni fidye yazılımına dair bulgularını paylaştı.

Yeni nesil siber güvenliğin lideri Sophos, “AvosLockerRemotelyAccessesBoxes, EvenRunning in SafeMode” başlığıyla yayınladığı araştırma makalesinde AvosLocker adı verilen fidye yazılımına dair bulgularını paylaştı. Sophos'un araştırması, saldırganların BT sorunlarının çözümü sırasında çoğu güvenlik ve BT yönetim aracını devre dışı bırakmalarını sağlayanWindows Güvenli Modözelliği ve AnyDesk uzaktan yönetim aracını birlikte kullanarak güvenlik kontrollerini nasıl aşabildiklerine açıklık getiriyor.

AvosLocker, ilk olarak Haziran 2021'in sonlarında ortaya çıkan ve popülaritesi giderek artanhizmet odaklı yeni bir fidye yazılımı. Sophos RapidResponse ekibi şimdiye dek Amerika, Orta Doğu ve AsyaPasifik bölgesinde Windows ve Linux sistemlerini hedef alan AvosLocker saldırılarına rastladı.

Sophos Olay Müdahale Ekibi Direktörü Peter Mackenzie,detayları şöyle aktarıyor:

"AvosLocker’in arkasındakiler,AnyDesk'ihedef sistemlere Güvenli Modda çalışacak şekilde yükledikten sonra güvenlik çözümü bileşenlerini devre dışı bırakmaya odaklanıyor ve fidye yazılımını aktive ediyorlar. Böylece hedefledikleri tüm sistemler üzerinde kapsamlı uzaktan denetime sahip oluyorlar. Sophos olarak söz konusu bileşenlerden bazılarının fidye yazılımlarını yaymak amacıylabu şekilde birlikte kullanıldığınadaha önce rastlamamıştık. Bu tür saldırılarla karşı karşıya kalan BT güvenlik ekiplerinin,saldırıdan etkilenen tüm makinelerdeki AnyDesk kurulumlarının izleri temizlenene kadar riskin devam ettiğinin farkında olmaları gerekiyor.”

Fidye Yazılımı Dağıtım Süreci Nasıl İşliyor?

Fidye yazılımının davranışlarını gözlemleyen Sophos araştırmacıları, saldırının hedef makinelerde "love.bat", "update.bat" veya "lock.bat" isimli toplu komut dosyalarını yürütmek için PDQ Deploy’un kullanmasıyla başladığını buldu. Söz konusu komut dosyaları, makineleri fidye yazılımı dağıtımına hazırlayan ve Güvenli Modda yeniden başlatan bir dizi ardışık komut içeriyor.

Yaklaşık beş saniyedetamamlanan komut süreci sırayla aşağıdaki adımları gerçekleştiriyor:

• Windows güncelleme hizmetleri ve Windows Defender devre dışı bırakılıyor
• Güvenli Modda çalışabilen ticari güvenlik yazılımı çözümlerine ait bileşenler devre dışı bırakılmaya çalışılıyor
• Meşru uzaktan yönetim aracı AnyDeskkuruluyorve Güvenli Modda çalışacak şekilde ayarlıyor,böylece saldırganların kullanabileceği komuta kontrol altyapısı oluşturuluyor
• Otomatik oturum açma bilgileriyleyeni bir hesap oluşturuluyor ve “update.exe” adlı yürütülebilir fidye yazılımınıuzaktan çalıştırmak için hedefin etki alanı denetleyicisine bağlanılıyor

AvosLocker tarafından kullanılan tekniklerin basit ama çok zekice olduğunu vurgulayan Mackenzie, “Uygulanan yöntemle fidye yazılımının Güvenli Moddaçalıştırılmasıve saldırganların makinelere uzaktan erişimininsürdürülmesisağlanıyor. Sophos olarak daha önce Snatch ve BlackMatter’in benzer teknikler uyguladığını görmüştük.Ancak bu fidye yazılımı gruplarının hiçbiri Güvenli Moddayken makinelerin komuta ve kontrolü için AnyDesk gibi bir uygulama yüklemeye çalışmadı. Böyle bir durumla ilk kez karşılaşıyoruz” diyor.