Cisco Talos, saldırı zincirlerini ortaya çıkarmak ve ilginç Taktikleri, Teknikleri ve Protokolleri vurgulamak için 2023 ile 2024 arasındaki en iyi 14 fidye yazılımı grubunu analiz etti. Güvenlik şirketi ayrıca fidye yazılımı aktörleri tarafından tetiklenen en çok yararlanılan güvenlik açıklarını da ortaya çıkardı.
Fidye yazılımı saldırı zinciri: Cisco Talos araştırmacılarının öğrendikleri
Fidye yazılımı aktörlerinin neredeyse tamamı aynı saldırı zincirini kullanıyor.
Fidye yazılımı aktörleri için birinci adım
Tehdit aktörünün ilk adımı hedeflenen varlığa erişim sağlamaktır. Bu hedefe ulaşmak için fidye yazılımı aktörleri farklı teknikler kullanır; en yaygın tekniklerden biri, hedeflenen sistemde kötü amaçlı yazılım çalıştıracak kötü amaçlı dosyalar veya bağlantılar içeren e-postalar göndererek hedeflerine sosyal mühendislik uygulamaktır. Kötü amaçlı yazılım daha sonra saldırganın hedeflerine ulaşmak için daha fazla araç ve kötü amaçlı yazılım kullanmasına olanak tanır. Çok faktörlü kimlik doğrulama, MFA uygulamasının zayıf olması veya halihazırda geçerli kimlik bilgilerine sahip olunması nedeniyle çeşitli teknikler kullanılarak şu anda atlanabilir.
Talos ayrıca, giderek artan sayıda fidye yazılımı bağlı kuruluşunun, internete açık sistemleri, sistemi tehlikeye atmalarına izin verebilecek güvenlik açıkları veya yanlış yapılandırmalar açısından taradığını bildirdi. Yamasız veya eski yazılımlar özellikle yüksek risk taşır.
Fidye yazılımı aktörleri için ikinci adım
İkinci adım, uzlaşmanın ilk vektörünün keşfedilmesi durumunda kalıcılık kazanmaktır; Sistemlerdeki bu kalıcılık, genellikle Windows kayıt defteri anahtarlarının değiştirilmesiyle veya sistem önyüklemesi sırasında kötü amaçlı kodun otomatik olarak çalıştırılmasının etkinleştirilmesiyle sağlanır. Kalıcılık için yerel, etki alanı ve/veya bulut hesapları da oluşturulabilir.
Fidye yazılımı aktörleri için üçüncü adım
Üçüncü adımda tehdit aktörü, altyapının iç kısımlarını daha iyi anlamak için ağ ortamını tarar. Fidye için kullanılabilecek değerli veriler bu adımda belirlenir. Saldırganlar, ağın tüm bölümlerine başarılı bir şekilde erişmek için, ağ taramasına izin veren araçların yanı sıra ayrıcalıklarını yönetici düzeyine yükseltecek araçları da sıklıkla kullanır. Bu görevler için popüler araçlar, Living Off the Land ikili dosyaları AKA LOLbins’dir, çünkü bunlar işletim sistemine özgü yürütülebilir dosyalardır ve uyarı vermeye daha az eğilimlidirler.
Fidye yazılımı aktörleri için dördüncü adım
Saldırgan, verileri Uzaktan İzleme ve Yönetim araçlarını veya StealBit gibi daha özel araçları kullanarak saldırgan tarafından kontrol edilen sunuculara sızdırmadan önce genellikle yardımcı programlarla (7-Zip veya WinRAR gibi) sıkıştırdığı hassas verileri toplamaya ve çalmaya hazırdır. veya örneğin LockBit ve BlackByte fidye yazılımı grupları tarafından oluşturulan Exabyte.
Fidye yazılımı aktörleri için olası beşinci adım
Amaç veri hırsızlığı veya gasp ise operasyon biter. Amaç veriyi şifrelemekse, saldırganın ağı şifrelemek ve kurbana sahip olduklarını bildirmek için fidye yazılımını başlatmadan önce ortamdaki fidye yazılımını test etmesi (yani dağıtım mekanizmalarını ve fidye yazılımı ile C2 sunucusu arasındaki iletişimi kontrol etmesi) gerekir. ihlal edildi ve fidyeyi ödemeniz gerekiyor.
En çok istismar edilen üç güvenlik açığı
Cisco Talos, halka açık uygulamalardaki üç güvenlik açığının genellikle fidye yazılımı tehdit aktörleri tarafından kullanıldığını bildirdi.
- CVE-2020-1472 AKA Zerologon, Netlogon Uzak Protokolündeki bir kusurdan yararlanarak saldırganların kimlik doğrulamasını atlamasına ve etki alanı denetleyicisinin Active Directory içindeki bilgisayar parolalarını değiştirmesine olanak tanıyor. Bu istismar fidye yazılımı aktörleri tarafından yaygın olarak kullanılıyor çünkü kimlik doğrulaması olmadan bir ağa erişmelerine olanak sağlıyor.
- CVE-2018-13379Fortinet FortiOS SSL VPN güvenlik açığı, bir saldırganın özel hazırlanmış HTTP paketleri göndererek sistem dosyalarına erişmesine olanak tanıyan yol geçişini etkinleştirir. Ağa kimliği doğrulanmamış erişim elde etmek için kullanılabilen VPN oturum belirteçlerine bu şekilde erişilebilir.
- CVE-2023-0669Bir GoAnywhere MFT güvenlik açığı olan . Bu, Cisco Talos’un raporunda listelediği en son güvenlik açığıdır.
Tüm bu güvenlik açıkları, fidye yazılımı aktörlerinin ilk erişim elde etmesine ve daha fazla kötü amaçlı yük çalıştırmak, kalıcılık yüklemek veya güvenliği ihlal edilmiş ağlarda yanal hareketleri kolaylaştırmak için sistemleri manipüle etmesine olanak tanır.
İNDİR: TechRepublic Premium’dan Siber Güvenliğin Avantajları ve En İyi Uygulamalar
14 fidye yazılımı grubunun dikkate değer TTP’leri
Cisco Talos, saldırı hacimlerine, müşterilere etkilerine ve alışılmadık davranışlara göre en yaygın 14 fidye yazılımı grubunun kullandığı TTP’leri gözlemledi.
TTP’lerle ilgili önemli bulgulardan biri, en önde gelen grupların çoğunun, saldırı zincirlerinde ilk uzlaşmayı sağlamaya ve savunmalardan kaçmaya öncelik verdiğini gösteriyor.
Fidye yazılımı tehdit aktörleri genellikle kötü amaçlı kodlarını paketleyip sıkıştırarak gizler ve uç nokta veya sunucudaki güvenlik uyarılarını devre dışı bırakacak şekilde sistem kayıt defterini değiştirir. Ayrıca kullanıcılar için belirli kurtarma seçeneklerini de engelleyebilirler.
Cisco Talos araştırmacıları, en yaygın kimlik bilgisi erişim tekniğinin, bellekte saklanan düz metin parolalarını, karma parolaları veya kimlik doğrulama belirteçlerini çıkarmak için LSASS bellek içeriklerinin dökümü olduğunu vurguladı.
C2 faaliyetlerindeki diğer bir eğilim, RMM uygulamaları gibi ticari olarak temin edilebilen araçların kullanılmasıdır. Bu uygulamalara genellikle çevre tarafından güvenilmekte ve saldırganın kurumsal ağ trafiğine karışmasına olanak sağlanmaktadır.
Fidye yazılımı tehdidi nasıl azaltılır?
Yeni başlayanlar için tüm sistem ve yazılımlara yama ve güncellemelerin uygulanması zorunludur; Bu sürekli bakım, bir istismar nedeniyle tehlikeye girme riskini azaltmak için gereklidir.
Sıkı şifre politikaları ve MFA uygulanmalıdır. Her kullanıcı için karmaşık ve benzersiz parolalar belirlenmeli ve MFA zorunlu kılınmalıdır; böylece geçerli kimlik bilgilerine sahip bir saldırgan yine de hedeflenen ağa erişemez.
Tüm sistemleri ve ortamları güçlendirmek için en iyi uygulamaların uygulanması gerekir. Saldırı yüzeyini azaltmak için gereksiz hizmetler ve özellikler devre dışı bırakılmalıdır. Ayrıca halka açık hizmetlerin sayısı mümkün olduğunca sınırlandırılarak internete maruz kalma azaltılmalıdır.
Ağlar, VLAN’lar veya benzer teknolojiler kullanılarak bölümlere ayrılmalıdır. Bir saldırganın yanal hareketlerini önlemek için hassas veri ve sistemlerin diğer ağlardan izole edilmesi gerekir.
Uç noktaların bir Güvenlik Bilgileri ve Olay Yönetimi sistemi tarafından izlenmesi gerekir ve Uç Nokta Tespit ve Yanıt veya Genişletilmiş Tespit ve Yanıt araçlarının konuşlandırılması gerekir.
Açıklama: Trend Micro için çalışıyorum ancak bu makalede ifade edilen görüşler bana aittir.
Kaynak: https://www.techrepublic.com/article/cisco-talos-ransomware-ttps/