Son saldırılarda, AvosLocker fidye yazılımı çetesi, güvenliği ihlal edilmiş sistemleri Windows Güvenli Mod’da yeniden başlatarak önlerine çıkan uç nokta güvenlik çözümlerini devre dışı bırakmaya odaklanmaya başladı.
Windows cihazları Güvenli Modda başlatıldıktan sonra çoğu güvenlik çözümü otomatik olarak devre dışı bırakılacağından, bu taktik kurbanların dosyalarını şifrelemeyi kolaylaştırır.
Ve yeni yaklaşımları, belirli bir gruba atfedilen saldırıların sayısı arttığı için oldukça etkili görünüyor.
‘Güvenli Mod’da Şifreleme
AvosLocker operatörleri, birkaç Windows toplu komut dosyasını hedef makineye bırakmak için yama yönetimini otomatikleştirmek için meşru bir dağıtım aracı olan PDQ Deploy’dan yararlanıyor ve bu da saldırı için zemin hazırlamalarına yardımcı oluyor. SophosLabs Baş Araştırmacısı Andrew Brandt’ten bir rapor.
Bu komut dosyaları, Windows Defender ve Kaspersky, Carbon Black, Trend Micro, Symantec, Bitdefender ve Cylance ürünleri dahil olmak üzere belirli uç nokta güvenlik araçlarına ait Kayıt anahtarlarını değiştirir veya siler.
Komut dosyaları ayrıca güvenliği ihlal edilmiş makinede yeni bir kullanıcı hesabı oluşturarak onu ‘newadmin’ olarak adlandırır ve Yöneticiler kullanıcı grubuna ekler.
Ardından, bu hesabı, sistem Ağ ile Güvenli Modda yeniden başlatıldığında otomatik olarak oturum açacak ve otomatik oturum açmayı engelleyebilecek “yasal bildirim” iletişim kayıt defteri anahtarlarını devre dışı bırakacak şekilde yapılandırırlar.
Son olarak, komut dosyaları, makineyi Güvenli Mod’a sokan bir yeniden başlatma komutu yürütür. Yeniden yüklendiğinde, fidye yazılımı yükü bir Etki Alanı Denetleyicisi konumundan çalıştırılır.
Otomatik yük yürütme işlemi başarısız olursa, aktör AnyDesk uzaktan erişim aracını kullanarak prosedürün manuel kontrolünü üstlenebilir.
Brandt, “Enfeksiyon sürecindeki sondan bir önceki adım, Kayıt Defteri’nde, fidye yazılımı yükünü, saldırganların Etki Alanı Denetleyicisine yerleştirdiği yerden dosyasız olarak yürüten bir ‘RunOnce’ anahtarının oluşturulmasıdır,” diye açıklıyor.
“Bu, IcedID ve diğer fidye yazılımlarının, dosyaların virüslü bilgisayarın dosya sistemine dokunmasına izin vermeden kötü amaçlı yazılım yüklerini yürütme yöntemi olarak yaptıklarına benzer bir davranış.”
Uç nokta güvenliğini kolayca atlamak için kullanılan Güvenli Mod
Bu aynı Güvenli Mod yürütme yöntemi, daha önce de dahil olmak üzere diğer fidye yazılımı grupları tarafından kullanılıyordu. REvil (ile otomatik giriş fazla), KaraMadde, ve kapmak, dolayısıyla bu açıkça ele alınması gereken bir güvenlik açığıdır.
Makineyi Güvenli Mod’a getirmenin ardındaki tüm fikir, çoğu uç nokta koruma çözümü bu modda çalışmadığından, çalışan tüm güvenlik araçlarını devre dışı bırakmaktır.
Bu basit ama etkili numara sayesinde, yeterince korunan makineler bile fidye yazılımı yürütme zincirlerine karşı savunmasız hale getirilebilir.
Makinelerinizde rastgele yeniden başlatma komutlarının gösterilmesini önlemek için, güvenlik araçlarınızın şüpheli Kayıt Defteri anahtarlarının eklenmesini algılayabildiğinden ve önleyebildiğinden emin olun.
Bu özellik, meşru Kayıt Defteri erişimini engelleyebilir, ancak yöneticiler için ek soruna değer.
Sophos’un raporunda altını çizdiği gibi, hiçbir uyarı “düşük öncelikli” olarak ele alınmamalıdır, çünkü küçük ve görünüşte zararsız bir şey bir fidye yazılımı yürütme zincirinin çok önemli bir halkası olabilir.