Chrome tarayıcısından giriş bilgilerini çalmaya odaklanan yeni bir fidye yazılımı türü keşfedildi

Google Chrome tarayıcısında saklanan hesap giriş bilgilerini çalmak için nispeten karmaşık ve oldukça özelleştirilebilir bir taktik kullanan Qilin adı verilen yeni bir fidye yazılımı türü keşfedildi.

Sophos X-Ops uluslararası güvenlik araştırma ekibi, Qilin olayına müdahale sırasında kimlik bilgisi toplama tekniklerini gözlemledi. Bu durum, bu tehlikeli fidye yazılımı türünün faaliyet eğilimlerinde endişe verici bir değişiklik olduğunu gösteriyor.

Saldırı sürecine genel bakış

Sophos araştırmacıları tarafından analiz edilen saldırı, Qilin zararlı yazılımının çok faktörlü kimlik doğrulaması (MFA) olmadan bir VPN ağ geçidinde ele geçirilmiş kimlik bilgilerini kullanarak hedef ağa başarıyla erişmesiyle başladı.

Bunu, kötü amaçlı yazılımın 18 günlük bir "uyku" dönemi izledi; bu da bilgisayar korsanlarının muhtemelen ağa ilk erişim aracısı (IAB) aracılığıyla erişim satın aldığını gösteriyor. Qilin'in ağın haritasını çıkarmak, önemli varlıkları belirlemek ve keşif yapmak için zaman harcadığı düşünülüyor.

İlk 18 günün sonunda kötü amaçlı yazılım etki alanı denetleyicilerine yatay olarak taşınır ve etki alanı ağında oturum açmış tüm makinelerde bir PowerShell betiğini ('IPScanner.ps1') yürütmek için Grup İlkesi Nesnelerini (GPO'lar) değiştirir.

Bu betik bir toplu iş betiği ('logon.bat') tarafından yürütülür ve aynı zamanda GPO'ya dahil edilir. Google Chrome'da saklanan giriş bilgilerini toplamak için tasarlanmıştır.

Toplu iş betiği, bir kullanıcı makinesinde her oturum açtığında çalışacak (ve PowerShell betiğini tetikleyecek) şekilde yapılandırılmıştır. Buna paralel olarak çalınan kimlik bilgileri 'SYSVOL' bölümüne 'LD' veya 'temp.log' adı altında kaydedilecektir.

Dosyalar Qilin'in komuta ve kontrol (C2) sunucusuna gönderildikten sonra, kötü amaçlı aktiviteyi gizlemek için yerel kopyalar ve ilgili olay günlükleri silindi. Son olarak Qilin, fidye yazılımı yükünü ve şifrelenmiş verileri tehlikeye atılan makinelere dağıtır.

Etki alanındaki tüm makinelere fidye yazılımını indirmek ve çalıştırmak için başka bir GPO ve ayrı bir komut dosyası ('run.bat') da kullanılıyor.

Savunmada karmaşıklık

Qilin'in Chrome kimlik bilgilerine yönelik yaklaşımı, fidye yazılımı saldırılarına karşı korunmayı daha da zorlaştırabilecek endişe verici bir emsal oluşturuyor.

GPO etki alanındaki tüm makinelere uygulandığından, kullanıcının oturum açtığı her cihaz kimlik bilgisi toplama sürecine tabidir.

Bu, betiğin sistem genelindeki tüm makinelerden kimlik bilgilerini çalabileceği anlamına gelir; yeter ki bu makineler etki alanına bağlı olsun ve betik çalışırken bir kullanıcı oturum açmış olsun.

Bu kadar geniş kapsamlı bir kimlik bilgisi hırsızlığı, bilgisayar korsanlarının daha fazla saldırı başlatmasına olanak tanıyabilir ve bu da birden fazla platform ve hizmeti kapsayan güvenlik olaylarına yol açarak müdahale çabalarını çok daha zahmetli hale getirebilir. Bu durum aynı zamanda fidye yazılımı olayı çözüldükten uzun süre sonra bile devam eden kalıcı bir tehdit oluşturmaktadır.

Kuruluşlar, web tarayıcılarında gizli bilgilerin saklanmasını yasaklayan katı politikalar uygulayarak riski azaltabilirler. Ayrıca, çok faktörlü kimlik doğrulamanın uygulanması, kimlik bilgilerinin tehlikeye atılması durumunda bile hesapların ele geçirilmesini önlemek için önemlidir.

Son olarak, en az ayrıcalık ve ağ segmentasyonu ilkelerinin uygulanması, bir tehdit aktörünün tehlikeye atılmış bir ağda yayılma yeteneğini önemli ölçüde engelleyebilir.