Kaspersky, SynAck fidye yazılımının yeni bir sürümünü keşfetti. Yeni sürüm, anti-virüs güvenliğini aşmak için Doppelgänging adlı yöntemi kullanıyor.
Doppelgänging yönteminin fidye yazılımlarda kullanıldığı ilk kez görülüyor. SynAck yazılımını geliştirenler tespit edilmekten ve analizden kaçınmak için başka yöntemler de kullanıyor. Bunlar arasında, örnek derlemenin öncesinde tüm zararlı kodları gizlemek ve eleme yöntemi kullanıldığı anlaşıldığında çıkmak gibi teknikler yer alıyor.
2017 Sonbaharı’ndan beri bilinen ve Aralık ayında genellikle İngilizce konuşan kullanıcıları hedef aldığı gözlenen SynAck fidye yazılımı, uzak masaüstü protokolü kaba kuvvet saldırısının ardından zararlı yazılımın manuel olarak indirilip kurulmasıyla çalışıyor. Kaspersky Lab araştırmacılarının keşfettiği yeni sürüm çok daha gelişmiş bir yaklaşımla, tespit edilmekten kaçınmak için Process Doppelgänging adı verilen bir yöntem kullanıyor.
Aralık 2017’de rapor edilen Process Doppelgänging yönteminde, Windows’un dahili bir işlevinden ve Windows işlem yükleyicisinin belgelenmemiş bir uygulama şeklinden yararlanan dosyasız bir kod bulaştırılıyor. Windows’un dosya işlemlerini yapma şeklini manipüle eden saldırganlar, zararlı işlemleri bilinen zararlı kodlar barındırsalar da zararsız ve yasal süreçler gibi gösterebiliyor. Doppelgänging yönteminde geride takip edilebilecek bir iz kalmıyor. Bu nedenle bu tür bir saldırıyı tespit etmek çok zor. Bu yöntemin fidye yazılımlarında kullanılmasına ilk kez rastlanıyor.
SynAck yazılımının yeni sürümünde dikkat çeken diğer özellikler arasında şunlar yer alıyor:
- Bu Truva Atı, yürütülebilir kodunu derlemeden önce gizliyor. Diğer fidye yazılımlarda görülen kodun paket haline getirilmesi yönteminin aksine bu yöntem sayesinde araştırmacıların zararlı kodu analiz edip ters mühendislik uygulaması zorlaşıyor.
- Gerekli API işlevine bağlantıları da gizleyen yazılım, karma kodları gerçek diziler yerine başka dizilerde saklıyor.
- Truva Atı kurulduktan sonra yürütülebilir dosyasının çalıştığı dizini inceliyor. ‘Doğru olmayan’ bir dizinden başlatılmaya çalışıldığını tespit ederse çıkıyor. Böylece otomatik bir eleme yönteminden kaçınıyor.
- Zararlı yazılım, hedef bilgisayarda Kiril alfabesine ayarlı bir klavye tespit ederse de başlamadan çıkıyor.
- SynAck hedef cihazdaki dosyaları şifrelemeden önce, çalışan tüm işlemlerin ve hizmetlerin karma kodlarını kendi gömülü listesiyle karşılaştırıyor. Bir eşleşme tespit ederse o işlemi durdurmaya çalışıyor. Bu yolla durdurulan işlemler arasında sanal makineler, ofis uygulamalar, kod çeviriciler, veri tabanı uygulamaları, yedekleme sistemleri, oyun uygulamaları ve daha fazlası yer alıyor. Çalışan işlemlerle bağlantısı bulunan değerli dosyalar böylece daha kolay ele geçirilebiliyor.
Araştırmacılar SynAck’in yeni sürümüyle hedefli saldırılar düzenlendiğine inanıyor. Bugüne kadar ABD, Kuveyt, Almanya ve İran’da sınırlı sayıda saldırı tespit edildi. Saldırılarda 3000 ABD doları fidye talep ediliyor.
Kaspersky Lab Zararlı Yazılım Baş Analisti Anton Ivanov, “Siber dünyada saldırganlar ve savunanlar arasında bitmek bilmez bir yarış var. Process Doppelgänging yöntemiyle en yeni güvenlik önlemlerini aşma becerisi önemli bir tehdit oluşturuyor. Saldırganlar bu yöntemi hızla benimsedi. Araştırmalarımız, düşük profilli bir hedefli fidye yazılımı olan SynAck’in bu yöntemle gizliliğini ve bulaşma yeteneğini nasıl artırdığını ortaya koydu. Neyse ki bu fidye yazılımı tespit etmek için gereken mantığı, yazılım ortaya çıkmadan önce uygulamıştık.” dedi.
Kaspersky Lab, SynAck fidye yazılımının bu sürümünü şu isimlerle tespit ediyor:
Trojan-Ransom.Win32.Agent.abwa
Trojan-Ransom.Win32.Agent.abwb
PDM:Trojan.Win32.Generic
Kaspersky Lab kullanıcıları ve cihazları bu fidye yazılımından korumak için şunların yapılmasını tavsiye ediyor:
- Verilerinizi düzenli olarak güncelleyin.
- Davranış tespiti yapabilen ve zararlı faaliyetleri başa döndürebilen güvenilir bir güvenlik çözümü kullanın.
- Kullandığınız tüm cihazlardaki yazılımları güncelleyin.
- Bir şirket sahibiyseniz çalışanlarınızı ve BT ekiplerinizi eğitin, hassas verileri kısıtlı erişimle ayrı bir yerde tutun. Bu amaç için özel geliştirilmiş bir güvenlik çözümü kullanın.
- Bir şifreleyici kurbanı olursanız panik yapmayın. Temiz bir sistemden No More Ransom adlı sitemizi kontrol edin. Burada dosyalarınızı geri almanızı sağlayacak bir şifre çözücü bulmanız mümkün.