Güvenli Modu İstismar Eden Fidye Yazılımı AvosLocker Tehlike Saçıyor

Yeni kuşak siber güvenliğin başkanı Sophos, "AvosLocker Remotely Accesses Boxes, Even Running in Safe Mode" başlığıyla yayınladığı araştırma makalesinde AvosLocker ismi verilen fidye yazılımına dair bulgularını paylaştı. Sophos'un araştırması, saldırganların BT meselelerinin tahlili sırasında birçok güvenlik ve BT idare aracını devre dışı bırakmalarını sağlayan Windows İnançlı Mod özelliği ve AnyDesk uzaktan idare aracını birlikte kullanarak güvenlik denetimlerini nasıl aşabildiklerine açıklık getiriyor.

AvosLocker, birinci olarak Haziran 2021'in sonlarında ortaya çıkan ve popülaritesi giderek artan hizmet odaklı yeni bir fidye yazılımı. Sophos Rapid Response takımı şimdiye dek Amerika, Orta Doğu ve Asya Pasifik bölgesinde Windows ve Linux sistemlerini gaye alan AvosLocker taarruzlarına rastladı.

Sophos Olay Müdahale Grubu Yöneticisi Peter Mackenzie, ayrıntıları şöyle aktarıyor:

"AvosLocker'in gerisindekiler, AnyDesk'i gaye sistemlere İnançlı Modda çalışacak biçimde yükledikten sonra güvenlik tahlili bileşenlerini devre dışı bırakmaya odaklanıyor ve fidye yazılımını aktive ediyorlar. Böylelikle hedefledikleri tüm sistemler üzerinde kapsamlı uzaktan kontrole sahip oluyorlar. Sophos olarak kelam konusu bileşenlerden kimilerinin fidye yazılımlarını yaymak emeliyle bu biçimde birlikte kullanıldığına daha evvel rastlamamıştık. Bu cins akınlarla karşı karşıya kalan BT güvenlik takımlarının, taarruzdan etkilenen tüm makinelerdeki AnyDesk kurulumlarının izleri temizlenene kadar riskin devam ettiğinin farkında olmaları gerekiyor."

Fidye Yazılımı Dağıtım Süreci Nasıl İşliyor?

Fidye yazılımının davranışlarını gözlemleyen Sophos araştırmacıları, taarruzun gaye makinelerde "love.bat", "update.bat" yahut "lock.bat" isimli toplu komut belgelerini yürütmek için PDQ Deploy'un kullanmasıyla başladığını buldu. Kelam konusu komut evrakları, makineleri fidye yazılımı dağıtımına hazırlayan ve İnançlı Modda yine başlatan bir dizi ardışık komut içeriyor.

Yaklaşık beş saniyede tamamlanan komut süreci sırayla aşağıdaki adımları gerçekleştiriyor:

• Windows güncelleme hizmetleri ve Windows Defender devre dışı bırakılıyor
• İnançlı Modda çalışabilen ticari güvenlik yazılımı tahlillerine ilişkin bileşenler devre dışı bırakılmaya çalışılıyor
• Legal uzaktan idare aracı AnyDesk kuruluyor ve İnançlı Modda çalışacak formda ayarlıyor, böylelikle saldırganların kullanabileceği komuta denetim altyapısı oluşturuluyor
• Otomatik oturum açma bilgileriyle yeni bir hesap oluşturuluyor ve "update.exe" isimli yürütülebilir fidye yazılımını uzaktan çalıştırmak için amacın tesir alanı denetleyicisine bağlanılıyor

AvosLocker tarafından kullanılan tekniklerin kolay lakin çok zekice olduğunu vurgulayan Mackenzie, "Uygulanan yolla fidye yazılımının İnançlı Modda çalıştırılması ve saldırganların makinelere uzaktan erişiminin sürdürülmesi sağlanıyor. Sophos olarak daha evvel Snatch ve BlackMatter'in benzeri teknikler uyguladığını görmüştük. Lakin bu fidye yazılımı kümelerinin hiçbiri İnançlı Moddayken makinelerin komuta ve denetimi için AnyDesk üzere bir uygulama yüklemeye çalışmadı. Bu türlü bir durumla birinci kere karşılaşıyoruz" diyor.

Sophos Intercept X ve öbür Sophos uç nokta güvenlik eserleri, AvosLocker fidye yazılımlarının ve öteki atakların davranışlarını algılayarak sistemleri itimat altında tutabiliyor.