Siber suçlular, Windows bilgisayarınızdaki antivirüs yazılımını atlatmak için giderek daha fazla yasal yönetim araçlarını kullanıyor. Bu araçlar, bilgisayar korsanlarının tespit edilmeden harekete geçmesine olanak tanır.
Seqrite araştırmacıları siber suçluların istismar ettiğini keşfetti yasal Windows araçları fidye yazılımı saldırılarını düzenlemek için. Uzmanlara göre bilgisayar korsanları, kendilerini bir duvarla karşı karşıya bulmadan amaçlarına ulaşmak için bilgisayarın antivirüs yazılımını devre dışı bırakmanın bir yolunu buldu.
Bilgisayar korsanları tarafından büyük ölçüde kötüye kullanılan araçlar arasında şunları buluyoruz: yönetim yazılımıesas olarak BT ekiplerine yöneliktir. Özellikle süreçleri yönetmek, dosyaların engelini kaldırmak veya sisteme müdahale etmek için kullanılırlar. Seqrite raporunda örneğin Process Hacker, IOBit Unlocker, PowerRun, AuKill, YDArk ve hatta TDSSKiller'den bahsediliyor. arasında “Bir zamanlar güvenilir sayılan yardımcı programlar artık bilgisayar saldırılarının en tehlikeli kolaylaştırıcılarından biri haline geldi”Seqrite'ı açıklıyor.
Ayrıca okuyun: Lockbit, fidye yazılımının 5. sürümüyle yeniden yürürlükte
Fidye Yazılımı Kralları Meşru Windows Araçlarından Nasıl Yararlanıyor?
Seqrite tarafından yürütülen araştırmalara göre, birkaç fidye yazılımı devleriLockBit 3.0, BlackCat, Dharma, Phobos veya MedusaLocker gibi Windows yönetim araçlarını ele geçirmeyi alışkanlık haline getirdiler. Hatta bilgisayar korsanları, başlangıçta meşru olan araçları hazır hack kitlerine dahil edecek kadar ileri gidiyorlar. Bu kitler bilgisayar korsanlarına abonelik yoluyla satılıyor.
Siber suçlular genellikle bir sistemi hacklemek için çok adımlı bir plan izler. Gözlem yaparak başlıyorlar: Şirketin nasıl yapılandırıldığına, şifrelerin en zayıf olduğu yerlere ve hangi güvenlik yazılımının kötü ayarlanmış veya güncelliğini yitirmiş olduğuna bakıyorlar. O zaman yapacaklar makine korumalarını devre dışı bırakınözellikle antivirüs, “Bir uyarıyı tetiklemeden”. Güvenlik çözümlerindeki dosyaları silmek ve arka planda çalışan tüm bileşenleri devre dışı bırakmak için IOBit Unlocker veya TDSSKiller gibi araçları kullanacaklar. Antivirüsün dosyalarını ve bileşenlerini temizleyerek, makinenin bir sonraki başlatılışında yeniden başlatılmasını önleyeceklerdir.
“Sorunları çözmek için oluşturulan araçlar, tek bir uyarıyı bile tetiklemeden, kolaylıkla güvenliği ortadan kaldıracak silahlara dönüşebilir”araştırmacılar söylüyor.
Savunmalar çöktüğünde planın ikinci aşamasına geçerler. Bilgisayar korsanları, bellekten şifreleri çalacak ve radarın altından geçmek için Windows'un en düşük seviyesine virüs yerleştirecek. Sonuçta bunu başarabilirler Antivirüsü uyarmadan fidye yazılımını makineye dağıtın. İçinde “Saldırganlar, bu korumaları etkisiz hale getirerek fidye yazılımlarının fark edilmeden çalışabileceği sessiz bir bölge oluşturuyor”. Ayrılmadan önce, araştırmacıların işini zorlaştırmak ve saldırının anlaşılmasını zorlaştırmak için günlükleri ve teknik izleri temizliyorlar.
Fidye yazılımı saldırılarında meşru araçların giderek artan kullanımı, güvenlik ve antivirüs uzmanlarının işini çok daha zorlaştırıyor. Kullanılan yönetim araçlarının çoğu geleneksel güvenlik politikalarının radarına giriyor. Bu nedenle korsanlar bunu amaçlarına ulaşmak için giderek daha fazla kullanıyorlar. Bu trendle mücadele etmek için Seqrite araştırmacıları, güvenlik çözümlerinin yazılımı tanımlamaya odaklanmak yerine anormal davranışları izlemesini öneriyor.
👉🏻 Teknoloji haberlerini gerçek zamanlı takip edin: 01net'i Google'daki kaynaklarınıza ekleyin ve WhatsApp kanalımıza abone olun.
Kaynak :
Sekrit
Bir yanıt yazın