Sophos, Ragnar Locker adlı fidye yazılımının güvenlik sistemlerinin denetiminden firar etmek için uyguladığı ilginç bir yöntemi ortaya çıkardı. Söz konusu fidye yazılımı kendini gizli tutmak için amaç aldığı bütün sistemlerde ayrıntılı birer sanal makine oluşturuyor ve tüm faaliyetlerini bu sanal cihaz yoluyla gerçekleştiriyor.
Yeni keşfedilen saldırıda Ragnar Locker'in ele geçirdiği sistemleri GPO aracılığıyla 122 MB'lık özel tasarlanmış, imzasız bir MSI paketini yüklemeye zorladığı tespit edildi. Paket 5 Ağustos 2009 tarihli Sun xVM VirtualBox Version 3.0.4 platformu ve Windows XP SP3 işletim sisteminin kırpılmış bir sürümü olan MicroXP v0.82'nin disk imajından oluşuyor. Bu imajın içinde 49 KB'lık Ragnar Locker fidye yazılımı yer alıyor.
Ragnar Locker'in arkasındaki kişiler, sızdıkları ağlarda fidye saldırısını başlatmadan önce para koparma şansını çoğaltmak için veri hırsızlığı yapmalarıyla biliniyor. Nisan ayında Portekizli enerji dağıtım şirketi Energias de Portugal'ı gaye alan siber saldırganlar, 10 TB büyüklüğünde alıngan şirket verisinin ellerinde olduğunu söyleyerek yaklaşık 11 milyon dolara karşılık gelen 1,580 Bitcoin talep etmişlerdi.
Reel Dünyayla Etkileşim Kurabilen Bir Hayalet Gibi
Ragnar Locker grubu, gözlerine kestirdikleri ağda idareci yetkilerini fethetmek için öncelikle yönetilen servis sağlayıcıların açıklarını ya da Windows Uzaktan Masaüstü Protokolünü (RDP) maksat bölge saldırılar gerçekleştiriyor. Antre yaptıktan daha sonra Powershell ve Windows Group Policy Objects (GPO) gibi Windows idare araçlarını kullanarak ağ içindeki Windows sunucu ve istemcileri arasında sinsice ilerliyor ve sanal cihaz kurulumlarını gerçekleştiriyor. İşlemin başarıyla gerçekleşmesini takiben fidye yazılımı içinde ağırlıklı olarak yedekleme, bilgi tabanı, meslek ve uzakta yönetim uygulamalarının bulunduğu 50 civarında süreç ve hizmeti durdurarak üzerlerinde çalıştıkları dosyaları erişime açık ışık halkası getiriyor. Gerisinde şifreleme işlemini gerçekleştiriyor. Tüm işlemler sanal cihaz üzerinden gerçekleştiği için fiziki makinedeki emniyet sistemleri sürece müdahale edemiyor.
Sophos Tehdit Önleme Mühendislik Direktörü Mark Loman, konuya dair şunları söylüyor: "Geçtiğimiz birkaç ay içinde fidye yazılımlarının ayrı yönlerde geliştiğini gözlemledik. Ama Ragnar Locker bu işi aslında ayrı bir seviyeye taşıdı. Güvenilir hipervizörleri eşzamanlı olarak yüzlerce uç noktaya yerleştirip içinde sakladıkları fidye yazılımının işini yapmasını garanti altına alıyorlar. Bu sanal makineler hakiki dünyayla etkileşim kurabilen birer hayalet gibi sistemler aralarında birçok emniyet yazılımı kadar tespit edilmeden süzülerek yerel makinelerdeki ve ağ üzerindeki diskleri şifreliyor. Uygulanan yöntem 50 KB'lık bir fidye yazılımını gizlemek için biraz fazla kompleks ve sıkıntılı görünse de, fidye yazılımlarına karşısında tatmin edici koruması olmayan ağlarda işe yaradığını gözlemliyoruz."
