Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Lazarus bilgisayar korsanları, yeni FudModule rootkit kullanarak Dell sürücü hatasını kötüye kullanıyor


Gülen yüz ile siber hacker

Kötü şöhretli Kuzey Koreli bilgisayar korsanlığı grubu ‘Lazarus’, Kendi Savunmasız Sürücünüzü Getir saldırısında bir Dell donanım sürücüsünü kötüye kullanan bir Windows rootkit kurarken görüldü.

Zıpkınla kimlik avı kampanyası 2021 sonbaharında ortaya çıktı ve doğrulanan hedefler arasında Hollanda’da bir havacılık uzmanı ve Belçika’da bir siyasi gazeteci yer alıyor.

Bugün kampanyayla ilgili bir rapor yayınlayan ESET’e göre, birincil hedef casusluk ve veri hırsızlığıydı.

BYOVD saldırıları için Dell sürücüsünü kötüye kullanma

Bu kampanyanın AB merkezli hedefleri, e-postayla gönderilen sahte iş teklifleriydi, bu sefer Amazon için, tipik bir ve yaygın sosyal mühendislik hilesi hackerlar tarafından istihdam 2022’de.

Bu belgeleri açtığınızda, sabit kodlanmış bir adresten uzak bir şablon indirilir ve ardından kötü amaçlı yazılım yükleyicileri, bırakıcılar, özel arka kapılar ve daha fazlasını içeren enfeksiyonlar gelir.

ESET, bu kampanyada dağıtılan araçlar arasında en ilgincinin, bir Dell donanım sürücüsündeki bir güvenlik açığından ilk kez yararlanmak için bir BYOVD (Kendi Güvenlik Açığı Sürücünüzü Getirin) tekniğini kötüye kullanan yeni bir FudModule rootkit olduğunu bildiriyor.

ESET, “Saldırganlar tarafından sağlanan en dikkate değer araç, meşru bir Dell sürücüsündeki CVE-2021-21551 güvenlik açığı nedeniyle çekirdek belleği okuma ve yazma yeteneği kazanan bir kullanıcı modu modülüydü” diye açıklıyor. yeni rapor saldırıda.

“Bu, bu güvenlik açığının vahşi doğada kaydedilen ilk kötüye kullanımı.”

“Saldırganlar daha sonra Windows işletim sisteminin kayıt defteri, dosya sistemi, süreç oluşturma, olay izleme vb. gibi eylemlerini izlemek için sunduğu yedi mekanizmayı devre dışı bırakmak için çekirdek bellek yazma erişimini kullandılar ve temelde güvenlik çözümlerini çok genel ve sağlam bir şekilde kör ettiler. “

Kendi Güvenlik Açığı Sürücünüzü Getirin (BYOVD) saldırısı, tehdit aktörlerinin Windows’ta bilinen güvenlik açıklarını da içeren meşru, imzalı sürücüleri yüklemesidir. Çekirdek sürücüleri imzalandığında, Windows sürücünün işletim sistemine yüklenmesine izin verecektir.

Ancak, tehdit aktörleri artık çekirdek düzeyinde ayrıcalıklarla komutları başlatmak için sürücünün güvenlik açıklarından yararlanabilir.

Bu saldırıda Lazarus, CVE-2021-21551 güvenlik açığından yararlanıyordu. Dell donanım sürücüsü (“dbutil_2_3.sys”), bir beş kusur seti bilgisayar satıcısı nihayet güvenlik güncellemelerini yayınlamadan önce 12 yıl boyunca sömürülebilir kaldı.

Saldırıda kullanılan Dell'in imzalı dbutil_2_3.sys sürücüsü
Saldırıda kullanılan Dell’in imzalı dbutil_2_3.sys sürücüsü
Kaynak: BleepingComputer

Aralık 2021’de Rapid 7’deki araştırmacılar bu özel sürücü hakkında uyarıldı Dell’in yetersiz düzeltmeleri nedeniyle BYOVD saldırıları için mükemmel bir aday ve en son imzalı sürümlerde bile çekirdek kodu yürütülmesine izin veriyor.

Görünüşe göre Lazarus, güvenlik analistleri kamuya açık uyarılarını yayınlamadan çok önce bu kötüye kullanım potansiyelinin oldukça farkındaydı ve Dell sürücüsünü istismar etti.

“Saldırganlar daha sonra Windows işletim sisteminin kayıt defteri, dosya sistemi, süreç oluşturma, olay izleme vb. gibi eylemlerini izlemek için sunduğu yedi mekanizmayı devre dışı bırakmak için çekirdek bellek yazma erişimini kullandılar ve temelde güvenlik çözümlerini çok genel ve sağlam bir şekilde kör ettiler ESET’in raporunun devamı.

Lazarus saldırısının BYOVD yönü ile ilgilenenler, bu 15 sayfadaki ayrıntılara dalabilirsiniz. teknik kağıt ESET’in ayrı olarak yayınladığı

BLINDINGCAN ve diğer araçlar

ESET, grubun, ilk olarak ABD istihbaratı tarafından keşfedilen özel HTTP(S) arka kapısı ‘BLINDINGCAN’ı kullandığını da sözlerine ekledi. Ağustos 2020’de ve Kaspersky tarafından Lazarus’a atfedildi Ekim 2021’de.

ESET tarafından örneklenen ‘BLINDINGCAN’ uzaktan erişim truva atı (RAT), parametre doğrulaması gerçekleştiren belgelenmemiş bir sunucu tarafı panosundan önemli ölçüde destek alarak çalışıyor gibi görünüyor.

Arka kapı, dosya eylemleri, komut yürütme, C2 iletişim yapılandırması, ekran görüntüsü alma, süreç oluşturma ve sonlandırma ve sistem bilgilerinin sızmasını kapsayan geniş bir 25 komut kümesini destekler.

Sunulan kampanyada kullanılan diğer araçlar, daha önce açıklanan FudModule Rootkit, güvenli veri sızması için kullanılan bir HTTP(S) yükleyicisi ve wolfSSL ve FingerText gibi çeşitli truva atlı açık kaynaklı uygulamalardır.

Açık kaynak araçlarını truva atlamak, Lazarus’un yapmaya devam ettiği bir şeydir. dünden bir Microsoft raporu bu tekniğin PuTTY, KiTTY, TightVNC, Sumatra PDF Reader ve muPDF/Subliminal Recording yazılım yükleyicisi ile kullanıldığını belirtiyor.



İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.