5.1 C
İstanbul
16/01/2025
Image default
HaberlerZararlı Yazılım Analizleri

SMAUG Fidye Yazılımı

Birkaç yıl önce halka açık hizmet olarak fidye yazılımı (Ransomware as a Service) teklifleri çok popüler ve fazlaydı. SATAN, Nemesis, Petya, RaaSberry, Shark, Data Keeper gibi örnekler bulunuyor ve bu liste uzayıp gidiyordu. Bununla birlikte özellikle geçen yıl içerisindeki eğilimler bu hizmetlerin giderek daha da özel bir hale gelmesi yönünde olmuştu. NEMPT Revenue ve Zeppelin bunun iki ana örneğidir.

Ara sıra da olsa tamamen kamu hizmetine yönelik olduğu da görülmektedir. Bu hizmet, işletim sistemi platformlarında kusursuz bir deneyim sunduğunda çok daha ilginç bir hal almaktadır. Windows, Linux ve MacOS platformlarında tam özelliklere sahip fidye yazılımı aileleri çok sık ortaya çıkmamaktadır, bu nedenle bugünün konusu olan SMAUG RaaS üzerine yoğunlaşacağız.

SMAUG Fidye Yazılımının Fark Yaratan Özellikleri

SMAUG fidye yazılımı için “dağıtıcı” olmak isteyen suçlular büyük olasılıkla bu tür hizmetler ile ilişkili tekliflere alışacaklardır. Çünkü SMAUG yazılımının operatörleri şu an %20 servis ücreti talep etmektedir. Bu duruma istinaden, diğer hizmetler ile karşılaştırıldığında oldukça yüksek bir kayıt ücreti de bulunmaktadır. Mevcut kayıt ücretinin 0,2 BTC olduğu ve bugünün fiyatlarıyla yaklaşık 1800 ABD Doları olduğu bilinmektedir.

Kayıt ücretini ödememeyi sağlayan bazı olası istisnalar da bulunmaktadır. SMAUG operatörlerinin reklam verdiği bazı forumlarda geliştiriciler, belirli sayıda gönderi ile ilk beş müşteriye ücretsiz üyelik (yalnız hizmet bedeli karşılığında) verileceğini ve geçmiş çalışmalarını (saldırıları) kanıtlayabileceğini de belirtiyor.

Resim 1: SMAUG Logo
Resim 2: Dağıtıcı Olma Hakkında
Resim 3: Dağıtıcı Olma Ücreti

SMAUG için en ilginç farklılıklar çoklu platform desteği (yine de tümü 64bit) ve tek bir anahtarın virüslü ana bilgisayarların tamamına (diğer bir deyişle hedeflenen şirket) uygulanmasına olanak sağlayan bir “Company Mode” özelliğinin dahil edilmesidir. Eğer kurban saldırganın istediklerini yapmayı seçerse, ortamdaki tüm şifreli bilgisayarların şifresini çözmek için (teorik olarak) tek bir anahtar kullanabilmektedir.

SMAUG, tüm bu özelliklerin yanı sıra çevrimdışı yeteneklere de sahip olması, yani payload’ın çalıştırmak ve şifrelemek için herhangi bir bağlantıya sahip olması gerekmemektedir.

Resim 4: Smaug Çevrimdışı Özelliği

SMAUG, geleneksel anti-virüs ürünlerinden kaçınmak için tasarlanmıştır. Şifreleme ve gizleme (encryption / obfuscation) ile birlikte, payload mümkün olduğunca minimum iz (footprint) bırakacak şekilde geliştirilmiştir.

SMAUG fidye yazılımı bir kriptolama veya paketleme özelliği içermemektedir. Bu nedenle geliştiriler, saldırganlara kendi payload dosyalarını daha da gizlemelerini tavsiye etmektedir. SMAUG yönetim arayüzünde kampanya yapılandırma seçenekleri içerisinde aşağıdakilere dikkat edilmesi gerektiği ile ilgili bir bilgi bulunmaktadır.

“Even though the payload is stealthy it is recommended to use crypting service to ensure the payload is undetectable by antivirus solutions.”

Burada payload’ın gizli olsa da anti virüs çözümleri tarafından tespit edilemez emin olmak için şifreleme mekanizmalarının da kullanılması gerektiği belirtilmektedir.

Resim 5: Özelleştirilebilir Kampanyalar

SMAUG operatörleri, tam otomatik bir ödeme sisteminin yanı sıra son derece özelleştirilebilir bir kampanya bölümünün olduğunu da gösteriyor. Bu, saldırganların yönetim ara yüzünde birden fazla kampanyayı oluşturmasına, düzenlemesine olanak tanımaktadır.

Resim 6: Kampanya Düzenleme Ekranı

Çoğu RaaS operatörü, hizmetleri için yüksek düzeyde “destek” sunmaktadır ve SMAUG da bu duruma özen göstermektedir. SMAUG hem müşterileri hem de kurbanları için tam destek sunma politikası izlemektedir.

Resim 7: SMAUG Destek Politikası

Özelleştirilebilir Kötü Amaçlı Yazılımlar!

Ancak Hedeflerinize Dikkat Edin 😊

SMAUG’un hizmet reklamlarında kesin bir dil ile “CIS (Commonwealth of Independent States)’i enfekte etmenin yasak olduğunu ve bunu yapanların cezalandırılacağı konusunda da uyarısını yapıyor. CIS, bir zamanlar Sovyetler Birliği’nin parçası olan bağımsız ülkeler grubu olarak bilinen “Bağımsız Devletler Topluluğu”dur.

SMAUG tarafından oluşturulan kampanyalar, belirtildiği gibi tamamen özelleştirilebilir ve saldırganların istedikleri fiyatı (BTC), son tarih / zaman kısıtlamalarını ve fidye notu mesajını ayarlamasına izin vermektedir. Geliştiriciler ek olarak aşağıdaki notu da paylaşıyor:

“The payload utilizes multi-threaded native code which ensures the encryption is done before your victims can react to it.”

Bu söz ile payload’ın, kurbanlar daha buna tepki vermeden önce şifrelemenin yapılmasını sağlayan çok iş parçacıklı yerel kod kullandığını belirtiyorlar.

Payloadlar doğrudan SMAUG’a ait web tabanlı yönetim ara yüzünde oluşturulmaktadır. Birçok RaaS teklifi kendi çevrimdışı oluşturucusunu sağlarken, bu genellikle süreci karmaşıklaştırabilir ve hevesli saldırganlar için sorunlara yol açabilmektedir. SMAUG, “basit web kullanıcı ara yüzü” ile bu sorunu çözdüğünü belirtmektedir. Kurbanlar, şifre çözme için ücretsiz olarak tek bir dosya gönderme hakkında sahiptirler. Bunun ötesinde, kampanyada belirlenen fidye taleplerine uymaları gerekmektedir.

Resim 8: Ücretsiz Dosya Gönderme Ekranı

Ayrı dosyaların tamamı AES-256 ile şifrelenmektedir. AES şifreleme anahtarını şifrelemek için ise RSA-2048 genel bir anahtar kullanılmaktadır.

Go dili ile yazılan Payloadlar!

Windows için yazılan Smaug payloadları Go dili ile yazılmış ve gizlenmiş dosyalardır. Bu payloadlar diğer benzer fidye yazılım hizmetlerine benzerlik göstermektedir.

Resim 9: Go Dili Payload
Resim 10: Go Dili Payload Örnekleri

Kötü amaçlı yazılım, başlatıldığında kendisinin bir kopyasını aşağıdaki gibi yerel bir sürücü dizinine bırakmaktadır.

  • C:\Windows\SysWOW64\drivers\
  • C:\Windows\System32\drivers\

Yazılım daha sonrasında kayıt defterindeki “LoadAppInit_DLLs” anahtarı aracılığıyla kalıcılık oluşturmaya çalışır.

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\LoadAppInit_DLLs

SMAUG’a ait payloadları, sistem bilgilerini ve depolanmış olan tarayıcı kimlik bilgilerini toplamak için ek işlevler barındırmaktadır. Şifreleme (encryption), Go tabanlı fidye yazılımlarına benzer şekilde AES-256 ile sağlanmaktadır. Bu işlemin ardından, etkilenen dosyalara uzun bir dosya uzantısı eklenmektedir. Örnek olarak, “11bdd939-1d45-421c-9be0-0addcdc8181c” gibi bir uzantı kullanılmıştır.

Resim 11: Dosya Uzantıları Örnekleri

Şifrelenmiş dosyaları içeren tüm dizinlere birer fidye notu kaydedilmektedir. Analiz edilen bir örnekte, bırakılan fidye notunun “HACKED.TXT” olarak adlandırıldığı görülmüştür. İçerisinde ise aşağıdaki şekilde bir içerik bulunmaktadır.

Resim 12: Hacked İsimli Text Notu

Bu not aracılığı ile ödeme talimatları ve işlem için SMAUG’ın portalını ziyaret etmeleri ile alakalı talimatlar kurbanlara iletilir.

Resim 13: Dosya Yükleme Ekranı

SMAUG, yapılan incelemeler arasında en “yardımcı” ödeme portalına sahip bir fidye yazılımı olarak görünmektedir. Portal hem saldırganlar hem de kurbanlar için çok kapsamlı şekilde düzenlenmiştir.

Resim 14: Bilgi Yazısı
Resim 15: Kurban ve Saldırgan için Hazırlanmış Bilgilendirme Ekranı

Sonuç ve İzlenimler

SMAUG gibi tehditlere karşı korunmak artık çok daha kritik durumdadır. Veri kaybını ve büyük ölçekli bir veri ihlalini ve sonuçlarını önlemek için kuruluşların düzgün konfigürasyonlara sahip, modern güvenlik çözümlerine ihtiyaçları bulunmaktadır. Bu saldırıların anahtarı genel olarak “önleme” olarak bilinmektedir. Kurbanlar, veri kaybının şifre çözücüler, yedeklemeler gibi çözüm yolları ile hafifletilmesi durumunda bile verilerinin halka açık bir şekilde yayınlanması sorunları ile karşı karşıya kalmaktadır.

IOC:

SHA1: 929b10f78565660535a07917d144d00b0c117571

SHA256: F2363a355fe226cb2f7f1afa72daecc5edfe1cb0edc1295856fb3f874d941b6d

MITRE ATT&CK

Data Encrypted for ImpactT1486
Boot or Logon Autostart Execution: Registry Run Keys / Startup FolderT1547
Exfiltration Over C2 ChannelT1041
Obfuscated Files or InformationT1027
Credentials from Password StoresT1555
Credentials from Password Stores: Credentials from Web BrowsersT1555.003
Inhibit System RecoveryT1490
Tablo 1: Mitre Taktikleri

Kaynak:

Related posts

Honda Ekans Ransomware ile Karşı Karşıya!

Mustafa Okay Maktav

Kötü Amaçlı Yazılımları Analiz Ederken Hangi Yaklaşımı Seçmelisiniz? – 1

Serdar H.

WASTEDLOCKER RANSOMWARE

Mustafa Okay Maktav

Bu web sitesi, kullanıcı deneyimini iyileştirmek amacıyla çerezler kullanmaktadır. Kabul Et Daha Fazlası