Algılanamayan Ransomware: LockFile

Yeni güvenlik araştırmalarında, Microsoft Exchange sunucularındaki ProxyShell güvenlik açığını daha önce hiç görülmemiş bir şifreleme taktiği ile sömürüren ransomware saldırısı fark edildi. Yeni fidye saldırısının adı: LOCKFILE

“Aralıklı Şifreleme” (Intermittent Encryption) şeklinde adlandırılan yöntem ile saldırganlar her dosyanın 16 baytını şifreliyorlar. Bir çok endpoint yazılımı da orijinal belgeye istatistiksel olarak çok benzediğinden dolayı da bu yeni belgeyi zararlı olarak görmemekte.

Saldırganlar, daha önceden yamaları duyurulan ProxyShell açıklarından yararlanıldığı ve içeri sızma başarılı olduktan sonra etki alanının kontrolünü ele geçirmek için PetitPotam NTLM geçiş saldırısını kullandığı açıklandı.

Bu saldırı türünde saldırgan, hedef sunucuda ki kimlik doğrulama oturumunu ele geçirerek elde ettiği sonuçları, hedef sunucuda ki erişim haklarına sahip olduğuna dair bir manipülasyon yaparak Microsoft Encrypting File System Remote Protokolünü (MS-EFSRPC) kullanır.

LockFile Ransomware’ın dikkat çekici birkaç özelliği daha göze çarpıyor. Zararlı yazılım, gizliliğini sürdürebilmek için komuta kontrol (CC – C2) ile iletişimi kopartabiliyor.

Yayınlanan araştırmaya göre LockFile, daha önceki WastedLocker ve Maze ransomware tehditleri gibi bir dosyayı şifrelemek için bellekte alanı belirtilmiş I/O’ları kullanıyor. Açıklamaya göre bu teknik ile saldırgan, önbelleğe alınmış dosyaları şeffaf bir şekilde şifreleyerek endpoint algılama teknolojilerini atlatır ve disk üzerinde minimum I/O ile yazılmasını sağlar.

Derinlemesine Bakış

Araştırmacılar, VirusTotal’de test ettikleri Lockfile yazılımını gözlemlediklerinde örnek içeriğin sadece üç işlevi ve üç bölümü olduğunu aktarıyorlar.

İlk işlev OPEN olarak adlandırılan bir bölüm. Bu bölümde hiçbir verinin bulunmadığı, sadece sıfırlar içerdiği belirtiliyor. Örneğin üç işlemini içeren ikinci bölüme ise CLSE adı verilmiş. Bu bölümde ki verilerin geri kalanı, daha sonra daha sonra çözülen birinci alan olan OPEN bölümüne yerleştirilmiş kodlar olduğu göze çarpıyor.

Araştırmalara göre zararlı yazılım, basit bir entry() ile FUN_1400d71c0(): öğesini çağırıyor. FUN_1400d71c0() fonksiyonu ise CLS bölümünde ki kodları çözüyor ve OPEN bölümüne yerleştiriyor. Ayrıca bu işlem için gerekli olan DLL kütüphanelerinide çözümlüyor. Bu işlemin ardından IMAGE_SCN_CNT_UNINITIALIZED_DATA değerlerini manipüle ederek bunları da OPEN bölümünde ki kodlara ekliyor.

Yapılan incelemelerde LockFile ile şifrelenmiş belgelerin küçük harflerle yeniden adlandırıldığı ve bir .lockfile şeklinde dosya uzantısı eklendiği görülüyor. Ayrıca LockBit 2.0’a çok benzeyen bir HTML Uygulaması (HTA) ile fidye notu bizleri karşılıyor. Fidye notunun içeriğine baktığımızda contact[@]contipauper.com adresi ile iletişime geçilmesini gerektiğini belirtiyor. ICANN üzerinden yaptığımız sorgulama da, ilgili alan adının 16 Ağustos tarihinde alındığı görülüyor.

“Aralıklı Şifreleme” Nedir?

Aslında aralıklı şifreleme metodu ilk defa karşımıza çıkmıyor. LockBit 2.0 , DarkSide ve BlackMatter fidye yazılımları hepsi bu metodu uzun zamandır kullanıyor. LockFile’ın farkı ise daha önce hiçbir fidye yazılımı bu metodu böylesine bir şekilde kullanmamış olması. LockFile yazımızın başında da belirttiğimiz gibi diğerlerinden farkı, belgelerin 16 baytını şifrelemesi. Örneğini verdiğimiz fidye yazılımları ise genellikle ilk birkaç bloğu şifreliyor olmasıdır. Bu sayede LockFit fidye yazılımı ile şifrelenen dosyalar kısmen okunabilir şekilde kalıyor.

Bazı endpoit yazılımları chi- squared (chi^2) adı verilen parametrik sınama yöntemini kullanmaktadır. Chi- squared yöntemine göre örneğin 481 KB’lık bir metin dosyasının puanı 3850061 çıkar. Bu belge eğer DarkSide ile şifrelenirse bu değer 334 olacaktır. Aynı belge LockFile ile şifrelendiğinde ise değerimiz 1789811 gibi orijinal puanına bir hayli yakın bir değer çıkartacak ve bir çok endpoint yazılımı bu yaklaşık değer yüzünden zararlı bir içerik olarak görmeyecektir.

LockFile zararlı yazılımın, hedef bilgisayarda ki tüm belgeleri şifreledikten sonra PING komutu ile ortamda ki tüm izlerini kaybettiriyor.

cmd /c ping 127.0.0.1 -n 5 && del “C:\Kullanıcılar\kullanıcı1\Desktop\LockFile” && exit

Burada gördüğümüz üzere zararlı yazılım bir CMD oturumu başlatıyor. Daha sonrasında localhost’a (Yani kendisine) 5 adet ICMP mesajı gönderiyor ve ardınandan DEL komutunu başlatmadan önce kendi işlemlerini sonlandırabilmesi için 5 saniyelik beklemeye geçiyor.

LockFile bu sayede geride hiçbir iz bırakmadan ortalıktan kayboluyor.