Google Chrome tarayıcısında saklanan hesap giriş bilgilerini çalmak için nispeten karmaşık ve oldukça özelleştirilebilir bir taktik kullanan Qilin adı verilen yeni bir fidye yazılımı türü keşfedildi.
Sophos X-Ops uluslararası güvenlik araştırma ekibi, Qilin olayına müdahale sırasında kimlik bilgisi toplama tekniklerini gözlemledi. Bu durum, bu tehlikeli fidye yazılımı türünün faaliyet eğilimlerinde endişe verici bir değişiklik olduğunu gösteriyor.
Saldırı sürecine genel bakış
Sophos araştırmacıları tarafından analiz edilen saldırı, Qilin zararlı yazılımının çok faktörlü kimlik doğrulaması (MFA) olmadan bir VPN ağ geçidinde ele geçirilmiş kimlik bilgilerini kullanarak hedef ağa başarıyla erişmesiyle başladı.
Bunu, kötü amaçlı yazılımın 18 günlük bir "uyku" dönemi izledi; bu da bilgisayar korsanlarının muhtemelen ağa ilk erişim aracısı (IAB) aracılığıyla erişim satın aldığını gösteriyor. Qilin'in ağın haritasını çıkarmak, önemli varlıkları belirlemek ve keşif yapmak için zaman harcadığı düşünülüyor.
İlk 18 günün sonunda kötü amaçlı yazılım etki alanı denetleyicilerine yatay olarak taşınır ve etki alanı ağında oturum açmış tüm makinelerde bir PowerShell betiğini ('IPScanner.ps1') yürütmek için Grup İlkesi Nesnelerini (GPO'lar) değiştirir.
Bu betik bir toplu iş betiği ('logon.bat') tarafından yürütülür ve aynı zamanda GPO'ya dahil edilir. Google Chrome'da saklanan giriş bilgilerini toplamak için tasarlanmıştır.
Toplu iş betiği, bir kullanıcı makinesinde her oturum açtığında çalışacak (ve PowerShell betiğini tetikleyecek) şekilde yapılandırılmıştır. Buna paralel olarak çalınan kimlik bilgileri 'SYSVOL' bölümüne 'LD' veya 'temp.log' adı altında kaydedilecektir.
Dosyalar Qilin'in komuta ve kontrol (C2) sunucusuna gönderildikten sonra, kötü amaçlı aktiviteyi gizlemek için yerel kopyalar ve ilgili olay günlükleri silindi. Son olarak Qilin, fidye yazılımı yükünü ve şifrelenmiş verileri tehlikeye atılan makinelere dağıtır.
Etki alanındaki tüm makinelere fidye yazılımını indirmek ve çalıştırmak için başka bir GPO ve ayrı bir komut dosyası ('run.bat') da kullanılıyor.
Savunmada karmaşıklık
Qilin'in Chrome kimlik bilgilerine yönelik yaklaşımı, fidye yazılımı saldırılarına karşı korunmayı daha da zorlaştırabilecek endişe verici bir emsal oluşturuyor.
GPO etki alanındaki tüm makinelere uygulandığından, kullanıcının oturum açtığı her cihaz kimlik bilgisi toplama sürecine tabidir.
Bu, betiğin sistem genelindeki tüm makinelerden kimlik bilgilerini çalabileceği anlamına gelir; yeter ki bu makineler etki alanına bağlı olsun ve betik çalışırken bir kullanıcı oturum açmış olsun.
Bu kadar geniş kapsamlı bir kimlik bilgisi hırsızlığı, bilgisayar korsanlarının daha fazla saldırı başlatmasına olanak tanıyabilir ve bu da birden fazla platform ve hizmeti kapsayan güvenlik olaylarına yol açarak müdahale çabalarını çok daha zahmetli hale getirebilir. Bu durum aynı zamanda fidye yazılımı olayı çözüldükten uzun süre sonra bile devam eden kalıcı bir tehdit oluşturmaktadır.
Kuruluşlar, web tarayıcılarında gizli bilgilerin saklanmasını yasaklayan katı politikalar uygulayarak riski azaltabilirler. Ayrıca, çok faktörlü kimlik doğrulamanın uygulanması, kimlik bilgilerinin tehlikeye atılması durumunda bile hesapların ele geçirilmesini önlemek için önemlidir.
Son olarak, en az ayrıcalık ve ağ segmentasyonu ilkelerinin uygulanması, bir tehdit aktörünün tehlikeye atılmış bir ağda yayılma yeteneğini önemli ölçüde engelleyebilir.
Kontrollü Klasör Erişimi, Microsoft'un Windows Güvenliği masaüstü antivirüs uygulamasının bir özelliğidir. Bu özellik, korumalı klasörlerdeki dosyalarda değişiklik yapılmasını önleyerek fidye yazılımlarının önüne geçer.
Bu iki terim sıklıkla karıştırılsa da fidye yazılımı ile Siber Gasp arasında fark vardır. Ancak bu ikili birbirine bağlıdır ve biri diğerine yol açabilir.
Eğer Excel'de veri kümeleriyle düzenli olarak çalışıyorsanız, ihtiyacınız olan bilgiye hızlı bir şekilde ulaşabilmenin ne kadar önemli olduğunu biliyorsunuzdur.
Bir milyondan fazla WordPress web sitesine yüklendiği tahmin edilen W3 Total Cache eklentisinde, saldırganların bulut tabanlı uygulamalardaki meta veriler de dahil olmak üzere çeşitli bilgilere erişmesine olanak tanıyabilecek kritik bir hata keşfedildi.
Microsoft, Teknoloji Topluluğu web sitesinde yayınladığı yeni bir paylaşımda, en son bulut tabanlı sürücü hizmetleri lehine WSUS sürücü senkronizasyonunu durdurmayı planladığını duyurdu.
Samsung akıllı telefonlardaki GoodLock uygulaması kişiselleştirme özellikleri dünyasının kapılarını açıyor.
Hamileliğin üçüncü üç ayı genellikle uykunun en zor olduğu zamandır. İşte hamilelerin son 3 ayda yaşadığı uykusuzluk sorununa çözüm.
Güneş'in kendi etrafında daire çizmesi olayı nedir? Makalede sizlere Güneş etrafındaki daireler olgusu detaylı bir şekilde anlatılacaktır.
Apple, yeni nesil iPad Mini'yi piyasaya sürerek gelecekte "yapay zeka dolu" yazılım deneyimlerine yöneleceğini açıkça ortaya koydu.
TikTok, reklam verenlerin platformun yapay zeka reklam oluşturma aracını kullanırken Getty Images'dan içerik çekmesine olanak tanıyacak.
Hiç kimse reklam görmekten hoşlanmaz ancak bu, sosyal medya platformlarının sağladıkları hizmetlerden para kazanmalarının yollarından biridir.
İnsanlar eskiden Netflix'te gezinerek çok fazla zaman harcıyordu, karar yorgunluğu çekiyor ve ne izleyeceklerini bilemiyorlardı. Ancak Chrome eklentisi Trim'i bulduktan sonra Netflix deneyimim tamamen değişti.
Evade oyun kodu, hayatta kalma yolculuğunuzda size ilk etapta avantaj sağlayacak önemli eşyaları ücretsiz olarak almanızı sağlar.
Taurus TFT 14. sezon, kalıcı hasar artırma mekanizmasına ve düşmanları yok ettiğinde altın düşürme yeteneğine sahip özel bir klandır.
Doğru teknikleri kullanırsanız telefonunuzla keskin gece fotoğrafları çekebilirsiniz; hatta bazen profesyonel bir kameradan bile daha iyi sonuçlar elde edebilirsiniz.
OpenAI, ChatGPT'yi kendi yapay zeka destekli arama motorunuza dönüştürebilmeniz için ChatGPT Arama'yı yayınladı. İşte Chrome'a ChatGPT arama motorunu ekleme talimatları.
Perplexity uzun zamandır güvenilir bir platform olsa da ChatGPT'nin yeni yetenekleri kullanıcıların yavaş yavaş orijinal Generative AI chatbot'una geri dönmesini sağlıyor.
