Tag

Ransomware

Browsing

 

Mallox Ransomware nedir?

Son zamanlarda, Mallox ailesine ait fidye yazılımı saldırılarının arttığını gözlemledik. Bu fidye yazılımı 2021’den beri aktif ve sızıntı web sitelerine göre bazı önde gelen şirketleri fidye yazılımıyla hedef almıştır. Bu süre içinde, tekniklerinde çok sayıda değişiklik yaparak çok güçlü bir fidye yazılımına dönüştü.

Son birkaç haftadır, işletme kaynaklarına bu fidye yazılımı tarafından saldırıldığına dair birden fazla rapor aldık. Bu yüzden, bu saldırganlar tarafından şu anda kullanılan ilk enfeksiyon vektörü hakkında bilgi yayınlamak istiyoruz, herkesin güncel kalmasını sağlamak ve daha iyi bir savunma yapabilmek için birlikte hareket edebilmek için.

Fidye yazılımı hakkındaki teknik bilgilere ilgi duyanlar, bir meslektaşımızın bloguna bakabilirler.

İlk giriş nasıl yapılır? Saldırganlar kurbanlarını nasıl seçerler? Saldırganların genel bir taktiği, savunmasız sunucu ve uygulamaları aramak için interneti tarayarak buldukları bir kaynakta kâr elde etmek için bunu sömürmeye çalışmaktır. Bu fidye yazılımı için giriş seçimi, halka açık olan MSSQL hizmeti aracılığıyla yapılır.

Ele aldığımız son olaylarda, saldırganların MSSQL girişini bruteforce yoluyla denediklerini sistem günlüklerinden doğruladık.

Denenen bazı kullanıcı adları, birçok organizasyonun ya şu anki kullanıcının farkında olmadığı (veya belki unuttuğu) veya şifreyi değiştirmek istemeyen (kendi garip nedenleri nedeniyle) varsayılan kullanıcı adı/şifre kombinasyonları gibi standart gibi görünüyor.

Toplanan günlüklerden, birkaç başarısız giriş denemesi gördük ve saldırganlar tarafından kullanılan aşağıdaki kullanıcı adlarını bulduk:

sa (122831) admin (934) mssqla (927) portaldbuser (392) test (299) mssql (250) Administrator (173) su (148) NT (143) user (122) sql (119) vice (105) guest (104) root (101) web (99) Yukarıdaki veriler, birden fazla sistemden elde edilmiştir. Her kullanıcı adı için deneme sayısı parantez içinde verilmiştir ve yukarıda da görülebileceği gibi, “sa” kullanıcı adı en “tercih” edilenidir.

 

Yukarıdaki veriler, birleştirilmiş birden fazla sistemden alınmıştır. Her bir kullanıcı adı için deneme sayısı parantez içinde verilmiştir ve yukarıda görüldüğü gibi en çok “sa” kullanıcı adı “tercih edilen” kullanıcı adıdır.

Oturum açma hatalarından birkaçı ve saldırgan tarafından kullanılan IP’ler şunlardır:

 

[code]: <span class="has-inline-color">sa</span> Reason: Password did not match that for the login provided.

[CLIENT: 114.220.90.151]" : <span class="has-inline-color">sa</span> Reason: Password did not match that for the login provided.
[CLIENT: 113.86.238.161]" : <span class="has-inline-color">sa</span> Reason: Password did not match that for the login provided.
[CLIENT: 202.59.11.167]" : <span class="has-inline-color">sa</span> Reason: Password did not match that for the login provided. [CLIENT: 178.124.213.58]" : <span class="has-inline-color">sa</span> Reason: Password did not match that for the login provided.
[CLIENT: 36.230.213.242] : <span class="has-inline-color">sa</span> Reason: Password did not match that for the login provided. [CLIENT: 202.59.8.196]" : <span class="has-inline-color">sa</span> Reason: Password did not match that for the login provided. [CLIENT: 111.89.126.125]"

<br data-mce-bogus="1">

[/code]

Yöneticiler, şunları yapmalıdır:

Bruteforce denemelerini düzenli olarak kontrol etmelidirler. Bruteforce denemeleri, kısa bir süre içinde anormal derecede yüksek giriş başarısızlıkları ve/veya sistemde bulunmayan kullanıcı adlarıyla yapılan giriş denemelerinden anlaşılabilir. Bu, yalnızca bu fidye yazılımı için değil. Saldırganların MSSQLServer üzerinden girerek ağdaki diğer sistemlere saldırdığı birçok örnek gördük. Daha önce MSSQL örneklerinde zayıf kullanıcı adı/parolaları kullanan Coin Mining kötü amaçlı yazılımlarının girdiğini gördük. Şüpheli görünen başarılı girişler için uyarılar ayarlayın. Örnek olarak, iş saatleri dışında yapılan girişler, beklenmeyen coğrafi konumlardan yapılan girişler vb. Bu github kaynağı, giriş politikalarını sıkılaştırmak için kullanılabilecek bazı varsayılan kullanıcı adı/parolalarını listeler:

https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/mssql-betterdefaultpasslist.txt

Şu anda, sistemlere giriş için kullanılan herhangi bir MSSQL saldırısı veya zafiyetiyle ilgili herhangi bir kanıt görmedik. Temel giriş, kimlik bilgisi bruteforcing ile yapılır.

Zararlar nelerdir? Bu kötü amaçlı yazılım tam olarak ne yapar? Fidye yazılımı, sistemle ilgili dosyalar hariç, tüm sürücülerdeki tüm dosyaları şifreler. Kısa bir teknik açıklama aşağıdaki gibidir:

Başlangıçta, (akıllı montaj kullanarak örtülü) bir .NET dosyası (fidye yazılımı yükleyicisi) çalıştırılır. Bu, saldırganların IP’sinden şifrelenmiş bir yük (bir .bmp, .jpg veya .png dosyası gibi görünen) doğrudan belleğe indirir, şifrelerini çözer (AES, DES, RC4 tarafından şifrelenmiş yüklerle karşılaştık) ve kendi belleğinde yükler, ardından aşağıdaki görüntüde gösterildiği gibi bir üye işlevini çağırır.

 

 

 

Payload, intelliLock obfuscator kullanılarak şifrelenmiş bir dll dosyasıdır ve çalıştırıldığında çözülen iki şifreli kaynağa sahiptir. İnanıyoruz ki kaynaklardan biri .bat dosyasıdır ve diğeri de VC8 kullanılarak derlenen gerçek fidye yazılımı ikincil işlem içine enjekte etmek ve yürütmek için kullanılan kabuk kodudur. Bu işlem oyuklaştırma teknikleri kullanarak gerçekleştirilir.

Analiz ettiğimiz örneklerden birinde, yüklenen dll, yukarıda belirtilen kabuk kodunu kullanarak, askıya alınmış bir zararsız MSBuild.exe işlemi oluşturdu, yazma korumasını değiştirdi ve kötü amaçlı fidye yazılımı ikincil işlemin belleğine enjekte etti, ardından işlemi devam ettirdi. Windows, bunun zararsız MSBuild.exe işlemi olduğunu düşünecek ve fidye yazılımına tüm ayrıcalığı vererek sistemin tüm dosyalarını sorunsuz bir şekilde şifrelemesine izin verecektir.

Bu fidye yazılımının bazı sürümleri, fidye yazılımı kodunu kendine enjekte eder. Diğer birkaç sürüm ise MSBuild.exe yerine Regasm.exe ve applauncher.exe kullanmıştır.

Kaynak bölümünde bulunan bat dosyası, izinleri değiştirme ve birden fazla hizmeti ve programı sonlandırma yeteneğine sahip olup, fidye yazılımının sorunsuz çalışmasına yardımcı olmak için %temp% klasörüne düşürülür.

 

 

takeown /f %SystemRoot%\system32\cmd.exe /a takeown /f %SystemRoot%\SysWOW64\cmd.exe /a takeown /f %SystemRoot%\system32\net.exe /a takeown /f %SystemRoot%\SysWOW64\net.exe /a takeown /f %SystemRoot%\system32\net1.exe /a takeown /f %SystemRoot%\SysWOW64\net1.exe /a takeown /f %SystemRoot%\system32\mshta.exe /a takeown /f %SystemRoot%\SysWOW64\mshta.exe /a takeown /f %SystemRoot%\system32\FTP.exe /a takeown /f %SystemRoot%\SysWOW64\FTP.exe /a takeown /f %SystemRoot%\system32\wscript.exe /a takeown /f %SystemRoot%\SysWOW64\wscript.exe /a takeown /f %SystemRoot%\system32\cscript.exe /a takeown /f %SystemRoot%\SysWOW64\cscript.exe /a takeown /f %SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe /a takeown /f %SystemRoot%\SysWOW64\WindowsPowerShell\v1.0\powershell.exe /a takeown /f C:\ProgramData /a takeown /f C:\Users\Public /a

 

 

Aşağıdaki iki görüntü, .bat dosyasının sonlandırmaya çalıştığı hizmetlerin ve işlemlerin kısmi bir listesini gösterir.

 

 

Kapatılmaya çalışılan çok uzun bir hizmet listesinden alıntı
 

Tamamen silinmesi gereken bir hizmet listesinden alıntı

Bunun Mallox mu yoksa başka bir fidye yazılımı ailesi mi olduğu nasıl belirlenir?

Son zamanlardaki tüm vakalarda, bu fidye yazılımı ailesi, şifrelediği tüm dosyaların dosya adına eklediği ‘ .mallox ‘ uzantısını kullandı. Ayrıca geride bıraktıkları fidye notundan da aileyi teşhis edebiliyoruz. Bu durumda fidye notu aşağıdaki gibi görünür:

 

[code]

Hello Your files are encrypted and can not be used To return your files in work condition you need decryption tool Follow the instructions to decrypt all your data Do not try to change or restore files yourself, this will break them If you want, on our site you can decrypt one file for free. Free test decryption allowed only for not valuable file with size less than 3MB How to get decryption tool: 1) Download and install TOR browser by this link: https://www.torproject.org/download/ 2) If TOR blocked in your country and you can’t access to the link then use any VPN software 3) Run TOR browser and open the site: wtyafjyhw———–redacted————– .onion/mallox/privateSignin 4) Copy your private ID in the input field. Your Private key: E46A9CBDB0FC647BE488D1B4 5) You will see payment information and we can make free test decryption here Our blog of leaked companies: wtyafjyhw———–redacted————–.onion If you are unable to contact us through the site, then you can email us: mallox.resurrection@onionmail.org Waiting for a response via mail can be several days. Do not use it if you have not tried contacting through the site.

[/code]

 

Ancak giriş bölümünde de belirttiğimiz gibi, bu fidye yazılımı birçok yönden değişti ve gelişti. Mart 2022 tarihli aşağıdaki tweet, bu fidye yazılımının o sırada bilindiği adı gösteriyor:

 

 

 

Fidye yazılımının önceki sürümlerinde fidye yazılımı modülü .net yükleyicinin kaynağına gömülüydü. Mevcut sürüm, daha önce de belirtildiği gibi, fidye yazılımı bileşenini şifrelenmiş biçiminde ayrı olarak indirir.

Peki ya dosya kurtarma?

Şu anda dosyaların şifresini çözmek için herhangi bir yöntemimiz yok. Genel olarak, geçmiş fidye yazılımı vakalarının bazılarında, şifre çözme anahtarının (çeşitli koşullar altında) uzun bir süre sonra serbest bırakıldığı görülmüştür.

Bu nedenle, çok uzak bir gelecekte, bu fidye yazılımı ailesi tarafından şifrelenen dosyaların şifre çözme anahtarının da serbest bırakılabileceği ve biz de aynısını kullanabileceğimiz gibi uzak bir olasılık var.

Ama sonra, kimseye bunun olmasını beklemesini önermiyoruz; saldırıya uğrama riskini azaltmak için bu blog yazısında bahsedildiği gibi uygun önleyici tedbirleri almakta ısrar etmeyi tercih ederiz.