GodDamn adlı yeni bir fidye yazılımı türü, antivirüs yazılımlarının makinelerinde neyin çalışacağına dair son sözü söylediğini düşünen herkesi endişelendirecek bir teknikle manşetlere çıkıyor. Dark Reading'in haberine göre, GodDamn'in arkasındaki saldırganlar, Microsoft'un kendisinin imzaladığı kötü amaçlı bir çekirdek sürücüsü kullanıyor ve güvenilir bir dijital sertifikayı, onu durdurması gereken güvenlik araçlarına karşı bir silaha dönüştürüyor. Bu, 'Kendi Savunmasız Sürücünü Getir' anlamına gelen BYOVD saldırısının ders kitabı niteliğinde bir örneğidir ve fidye yazılımı operatörlerinin cephaneliğindeki en güvenilir numaralardan biri haline gelmektedir.

Ne Oldu

GodDamn fidye yazılımı, meşru bir Microsoft imzası taşıyan çekirdek düzeyinde bir sürücü dağıtarak ABD'deki şirketleri hedef alıyor. Windows, işletim sisteminin derinliklerinde çalışmak üzere imzalı sürücülere güvendiğinden, bu sürücü savunmaları atlatıp fidye yazılımı yükü hiç çalıştırılmadan önce güvenlik yazılımlarını sonlandırabildi. Uç nokta koruması devre dışı bırakıldığında, saldırganlar dosyaları şifrelemekte ve ağda büyük ölçüde tespit edilmeden hareket etmekte özgür oluyor. Buradaki en çarpıcı ayrıntı, sürücünün ilk etapta Microsoft tarafından imzalanmış olmasıdır: Bu, kötü amaçlı kodun Windows'taki bir açığı kullanmaktan ziyade, imzalama sürecinin kendisine duyulan güveni istismar ettiği anlamına geliyor.

BYOVD Güvenlik Yığınınızı Nasıl Atlar?

Çekirdek sürücüleri bir Windows makinesinde en yüksek ayrıcalık düzeyinde, çoğu antivirüs ve uç nokta algılama aracının çalıştığı katmanın etkili bir şekilde altında çalışır. Saldırganların tam da bu yüzden bir tane istemesinin nedeni budur. Geçerli imzaya sahip bir sürücü, imzasız veya bilinmeyen bir yürütülebilir dosyanın tetikleyeceği aynı incelemeyi tetiklemez, dolayısıyla sessizce yüklenip ardından sistemde çalışan diğer güvenlik süreçlerini devre dışı bırakmak, kör etmek veya sonlandırmak için kullanılabilir.

Bu, geleneksel antivirüsün ötesinde önem taşır. VPN istemci yazılımı, DNS filtreleme araçları ve diğer gizlilik veya güvenlik uygulamaları da aynı işletim sisteminde süreçler olarak çalışır ve bu düzeyde denetime zaten sahip olan çekirdek düzeyindeki bir saldırgan tarafından kapatılmaya karşı aynı derecede savunmasız olabilirler. Bir VPN trafiğinizi şifreler ve belirli ağ gözetleme türlerini önlemeye yardımcı olabilir, ancak hiçbir zaman kötü amaçlı bir sürücünün İşletim Sistemi düzeyinde güvenlik yazılımını devre dışı bırakmasını engellemek üzere tasarlanmamıştır. Bir saldırgan çekirdek erişimine sahip olduğunda, çoğu tüketici ve kurumsal güvenlik aracının onları görebileceği düzeyin altında faaliyet gösterir; bu da tek bir araca güvenmek yerine katmanlı savunmanın neden önemli olduğunu tam olarak gösterir.

BYOVD yeni değildir, ancak modern savunmalara karşı çok iyi çalıştığı için tercih edilen bir teknik haline gelmiştir. Fidye yazılımı operatörleri, bu yeteneği önceden dağıtılan ayrı bir araç olarak ele almak yerine giderek doğrudan kötü amaçlı yazılımlarına dahil ediyor, bu da saldırıları hızlandırıyor ve tespiti zorlaştırıyor. Saldırganların işe yarayan bir şey bulduklarında hızla harekete geçmesi şeklindeki daha geniş model, şu anda fidye yazılımı ortamında görülebiliyor. Gasp grupları, bu yılın başlarında SpaceBears'ın bir Fransız telekom operatörünü hedef almasında görüldüğü gibi kritik altyapıya karşı hızlı saldırma isteği de gösterdi ve ShinyHunters'ın NAIC'e karşı düzenlediği gibi büyük ölçekli veri hırsızlığı operasyonları, ilk savunmalar başarısız olduğunda ne kadar verinin tehlikede olduğunu gösteriyor.

Bu Cihaz Güvenliğiniz İçin Neden Önemli?

GodDamn'den çıkarılacak temel ders, fidye yazılımıyla ilgili değil, güvene dayalı güvenlik modellerinin kırılganlığıyla ilgilidir. İmzalı kod, doğrulanmış sertifikalar ve satıcı onayı güvenliğe işaret etmesi beklenen sinyallerdir, ancak saldırganlar tam da bu sinyalleri kötüye kullanmanın yollarını bulmaya devam ediyor. Hız da bir faktördür. Kritik bir cPanel kimlik doğrulama atlatma güvenlik açığı ifşa edildikten sonra saldırganların on binlerce sunucuyu tehlikeye atmak için hızla harekete geçmesi gibi, fidye yazılımı ekipleri de kendilerine savunmacılar karşısında avantaj sağlayan kötü amaçlı imzalı sürücüler dahil her tekniği hızla operasyonel hale getirir.

Bu, hem günlük kullanıcılar hem de BT yöneticileri için basit bir noktayı pekiştiriyor: Antivirüs, VPN veya güvenlik duvarı gibi tek bir güvenlik katmanı kendi başına yeterli değildir. Saldırganlar herhangi bir kontrolün etrafından dolaşmanın yollarını aktif olarak ararken, birden fazla örtüşen koruma anlamına gelen derinlemesine savunma, riski azaltmanın en gerçekçi yolu olmaya devam ediyor.

Bu Sizin İçin Ne İfade Ediyor?

İster evde ister iş ortamında olsun, Windows sistemlerini yönetiyorsanız, GodDamn fidye yazılımı kampanyası sürücü imzalama uygulamasını, uç nokta algılamayı ve yama yönetimini güncel tutmanız gerektiğini hatırlatıyor. Windows, bilinen kötü sürücüleri engelleyecek mekanizmalara sahiptir ve saldırganlar savunmasız sürücüleri tespitten kaçırmak için güncel olmayan engelleme listelerine güvendiğinden, bu savunmaları güncel tutmak çok önemlidir.

Bir VPN, özellikle güvenilmeyen ağlarda trafiği şifrelemek ve belirli gözetim biçimlerine maruz kalmayı sınırlamak için gizlilik ve güvenlik araç setinizin değerli bir parçası olmaya devam eder, ancak sofistike kötü amaçlı yazılımlara karşı tam bir savunmadan ziyade birkaç katmandan biri olarak anlaşılmalıdır. Saygın bir VPN'i güncel antivirüs yazılımı, zamanında İşletim Sistemi yamaları ve indirmeler ile e-posta eklerinin dikkatli bir şekilde ele alınmasıyla birleştirmek, size herhangi bir tek araca güvenmekten çok daha güçlü bir genel duruş sağlar.

Eyleme Dönüştürülebilir Çıkarımlar

Windows'u ve tüm güvenlik yazılımlarını tamamen güncel tutun, çünkü Microsoft bunun gibi boşlukları kapatmak için savunmasız sürücü engelleme listesini düzenli olarak günceller. Desteklendiği yerlerde Windows Güvenlik ayarlarında bellek bütünlüğü ve çekirdek yalıtımı özelliklerini etkinleştirin, çünkü bunlar BYOVD saldırılarını gerçekleştirmeyi zorlaştırabilir. Kritik verileri düzenli olarak yedekleyin ve kopyaları çevrimdışı olarak saklayın, böylece fidye yazılımı şifrelemesi dosyalarınızı rehin alamaz. VPN'inizi bağımsız bir kalkan yerine daha geniş bir güvenlik stratejisinin parçası olarak görün ve onu uç nokta koruması ve güvenli tarama alışkanlıklarıyla eşleştirin. Son olarak, ortaya çıkan BYOVD ve fidye yazılımı teknikleri hakkında bilgi sahibi olun, çünkü saldırganların güvene dayalı savunmaları nasıl atlattığını anlamak, bu boşlukları size ulaşmadan kapatmanın ilk adımıdır.