Sinsi siber saldırı tehdidi, enerji şirketlerini hedef alıyor

Güvenlik Araştırmacılar, enerji şirketlerini hedef alırken büyük ölçüde fark edilmeyen yeni bir kötü amaçlı yazılım tehdidi keşfettiler.

Güvenlik şirketi SentinelOne'den araştırmacıların Furtim'in Ana adlı sözünü ettiği kötü amaçlı yazılım programı, sözde bir damlalıktır. ek kötü amaçlı yazılım bileşenleri ve araçları indirin ve yükleyin. Araştırmacılar, mayıs ayında piyasaya sürüldüğüne ve devlet destekli saldırganlar tarafından yaratıldığına inanıyorlar

Damlalıkların amacı, uzmanlık gerektiren görevleri gerçekleştirebilecek diğer kötü amaçlı yazılım bileşenlerinin kurulum alanı hazırlamaktır. Öncelikleri fark edilmeden kalmak, ayrıcalıklı erişim kazanmak ve mevcut korumaları devre dışı bırakmaktır. Bunlar, Furtim'in Ebeveynlerinin iyi yaptığı tüm görevlerdir.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Bir sistemde ilk çalıştırıldığında, kötü amaçlı yazılımlar sanal makineler, sanal alanlar, virüsten koruma programları için ortamı test eder güvenlik duvarları, kötü amaçlı yazılım analistleri tarafından kullanılan araçlar ve hatta biyometrik yazılımlar.

Testler çok kapsamlı. CPU kimlikleri, sunucu adları, dosya adları, DLL kütüphaneleri, dizinler, CPU çekirdeği bilgileri, çekirdek sürücüleri, çalışan işlemler, sabit disk sağlayıcı bilgileri, ağ kartları, MAC adresleri ve BIOS bilgileri gibi kara listelerden gelen kontrolleri içerir. ve güvenlik uygulamaları.

Bazı durumlarda, eğer böyle bir yazılım tespit edilirse, kötü amaçlı yazılım kendini sonlandırır. Diğerlerinde, çalışmaya devam edecek, ancak işlevlerini sınırlayacak ve antivirüs programları durumunda bunları devre dışı bırakmaya çalışacak.

Bu testlerin derinliği ve karmaşıklığı, kötü amaçlı yazılımın yaratıcılarının Windows hakkında iyi bir fikir sahibi olduğunu gösteriyor. ve güvenlik ürünleri. Bu, araştırmacıların Furtim'in Anne-Baba'sının üst düzey becerilere ve önemli kaynaklara erişime sahip birden fazla geliştiricinin çalışması olduğuna inanmalarını sağladı.

Kötü amaçlı yazılım, disk üzerinde normal bir dosyayı değil, bir NTFS alternatif veri akışı (ADS) olarak yüklüyor. . Bilgisayarın önyükleme işleminin başında başlar ve güvenlik ürünleri tarafından kullanılan davranışsal saptama yordamlarını atlamak için düşük düzeyli belgelenmemiş Windows API'lerini çağırır.

"Dolaylı alt yordam çağrılarının kullanılması, el ile statik çözümlemeyi neredeyse imkansız kılar ve Dinamik analiz ağrılı ve yavaş, "SentinelOne araştırmacıları Salı günü bir blog yayınında söyledi. "Yazar, bu örneği olabildiğince uzun süre tutmak için özel bir özen gösterdi."

Kötü amaçlı yazılım, biri Microsoft tarafından 2014'te ve 2015'te bir kullanıcı tarafından da bilinen iki Windows ayrıcalık yükselişinden yararlandı. Yönetici ayrıcalıkları elde etmek için UAC) baypas tekniği. Bu erişim elde edilirse, farklı bir hesap altında çalışmayı ve kuşku uyandırmayı önlemek için geçerli kullanıcıyı Administrators grubuna ekler.

Yüklendikten sonra, kötü amaçlı yazılım birkaç virüsten koruma ürününün koruma katmanlarını sessizce devre dışı bırakır ve sistemin DNS ayarlarını ele geçirir. Belirli antivirüs güncelleme sunucularına erişimi engellemek. Bu, yüklerin indirilmesi ve yürütülmesi için yerin belirlenmesini sağlar.

SentinelOne araştırmacıları tarafından gözlemlenen bir yük, virüslü sistemlerden bilgi toplamak ve bir komut-kontrol sunucusuna geri göndermek için kullanıldı. Bu büyük olasılıkla bir keşif aracıydı, ancak damlalık aynı zamanda hassas verileri ayıklamak veya yıkıcı eylemler gerçekleştirmek için tasarlanmış bileşenleri indirmek için de kullanılabilir.

Enerji üretimi ve dağıtım şirketleri, devlet destekli siber saldırganlar için çekici bir hedeftir çünkü sistemleri potansiyel olarak fiziksel hasara neden olmak için kullanılır. Bu, Hackerların kötü amaçlı yazılımları kullanmak için kötü amaçlı yazılım kullandığı ve büyük ölçekli kesintilere neden olduğu Ukrayna'da Aralık ayında yaşananlar oldu.