“LockerGoga” Saldırısının Anatomisi

ilyasaglar tarafından tarihinde yayınlandı

Bir Şirketi Felç Eden Saldırı: “LockerGoga” ve Saldırının Anatomisi

Bir Şirketi Felç Eden Saldırı: “LockerGoga” ve Saldırının Anatomisi

Üretim sektörü ve endüstride yaşanan dijitalleşme dalgası şirketlere verimlilik ve daha düşük maliyetler gibi bir çok avantaj sunuyor. Bununla beraber, bu trendin olumsuz sonuçlarından biri sayıları giderek artan ve giderek daha sofistike hale gelen siber saldırılar. Uzmanlara göre rasgele ve daha basit motivasyonlarla gerçekleştirilen siber saldırılar yerlerini artık yerini planlanmış ve hedefli saldırılara bırakıyor. Kaspersky’e göre, “dünya genelinde yayılan ve sayısız işletmenin faaliyetlerini etkileyen WannaCry, ExPetr ve Bad Rabbit saldırıları ile silici yazılımların çağı başladı”(1). Öte yandan, “fidye saldırıları” ise şirketlerin korkulu rüyasına dönüştü.

Bu çerçevede, 2019 yılında en çok konuşulan fidye yazılımlarından biri ise LockerGoga. Hatırlanacağı üzere, Mart 2019’da Norveçli Alüminyum Devi Hydro kurumun tamamını etkileyen bir fidye yazılımı saldırısına uğradığını açıklamıştı. Saldırının kim tarafından gerçekleştiğine ilişkin bir uzlaşma sağlanamasa da öne sürülen hipotezlerden biri ise, Hydro’nun Locker Goga tarafından hedef alınmış olması. Araştırmacılara göre, güvenlik ihlali şirkete önemli miktarda zarara mal oldu ve olayın kamuoyuna açıklanmasından iki hafta sonra şirket ilk haftada 35-41 milyon dolar kaybettiğini açıkladı(2).

Saldırının Anatomisi

LockerGoga bir fidye yazılımıdır ve LockerGoga ismi zararlı yazılımın kaynak kodlarını derlemek için kullanılan bir dosyanın dosya uzantısından türetilmiştir. Uzmanlar LockerGoga’nın “Goga” soyisminin popüler olduğu Romanya’da oluşturulduğunu düşünüyor.

LockerGoga, dosyaları güçlü bir simetrik anahtar ve bir AES256 yani bir blok şifresi koyarak şifreler ve şifrelenmiş sürümlere .locked uzantısı ekler. Dosyaları tek tek şifreler ve her dosya tamamlandıktan sonra bir sonra ki şifreleme işlemini gerçekleştirebilmek için yeni bir şifreleme işlemi başlatır fakat bilgisayarda çok fazla ek yük ile enerji tükettiği için ve tek tek şifreleme yaptığından dolayı yavaştır bu da aslında büyük bir ölçüde verimsizliğe sebep olur ve uzmanlara göre, bu yavaşlık LockerGoga’nın zafiyetlerinden biridir.

Saldırganların, atakları gerçekleştirirken sistemlere nasıl ilk erişim kazandıkları konusunda net bir bilgi yok. Bu nedenle ilk erişimin nasıl olduğuna dair ortaya atılan iki tane teoriden birincisine göre saldırganların, bir kullanıcının oltalama mailine tıklamış olmasını sağlamış olabileceği, ikinci teori ise saldırganların, Deep web üzerinden bir kullanıcıya ait kimlik bilgilerini almış olabileceği üzerine.

Zararlı yazılım sisteme sızmayı başardıktan sonra, saldırıları başlatmak için metasploit ya da cobalt strike gibi yaygın hackleme araçlarını kullanıldığı biliniyor. Bir sonraki evrede ise saldırganlar, Mimikatz gibi kimlik bilgileri toplama araçları kullanarak yönetici kimlik bilgilerini aradıkları bellekteki şifreleri keşfediyor.

Bu kimlik bilgilerini aldıktan sonra, saldırganlar  fidye yazılımlarını diğer makinelere de yaymak için Microsoft’un Active Directory yönetim araçlarını kullanıyorlar. Antivirüs programlarından kaçmak içinse, zararlı yazılımların meşru bir şekilde çalıştırılabilir gibi görünmesini sağlayan çalınmış bir sertifika kullanıyor ve bu sayede antivirüs çözümlerinin radarına girmiyorlar. Hedef makinelerde çalışan antivirüsü durdurmak yada virüsün algılama olasılığını ortadan kaldırmak içinse bir “task kill” gerçekleştiriyorlar.

LockerGoga, tüm dosyaları şifrelemeyi tamamladıktan sonra aşağı da gösterildiği gibi not defterine bir fidye notu bırakıyor ve basit bir ingilizce ile ne yaptıklarını açıklayarak ve birkaç örnek dosyanın şifresini çözmeyi teklif ederek, bunun karşılığında ise bitcoin ile ödeme talebinde bulunuyorlar. Dahası, eğer saldırganlar ile hızlı bir şekilde iletişime geçerseniz size indirim uygulama olanakları olduğunu söylüyorlar.

LockerGoga’nın yeni versiyonlarında tuhaf bir twist dosyası da yer alıyor. Nitekim, dosya şifrelemeyi bitirdikten sonra, saldırganlar tüm ağ arayüzlerini bu twist dosyası sayesinde algılayarak devre dışı bırakıyorlar. Ek olarak bilgisayarların kullanıcı ve yönetici şifrelerini değiştirdikten sonra saldırganlar makineleri kapatıyorlar. Buradaki amaç ise mağdurun fidye notunu görmek için sisteme giriş yapamaması ve böylece saldırganla iletişim kurma ve fidye ödemesi yapma süresinin geciktirilmesi. Bu durum, çok daha fazla kaos yaratarak saldırganların sadece kar aramadığı aynı zamanda bu saldırganların siber savaşla uğraşan devletler tarafından desteklendiği yönündeki düşünceleri de destekler nitelikte.

Kaynak:Security Affairs,LockerGoga is the most active ransomware that focuses on targeting companies

Güç Santralleri Etkilenmedi

Kaspersky’nin araştırmalarına göre, saldırı çok büyük çaplı olmasına rağmen şirketin faaliyetlerinin tamamını etkilemedi. Nitekim, Windows işletim sistemini kullanan cihazlar felç olsa da, Windows’a dayalı olmayan telefonlar ve tabletler çalışmaya devam etti. Bir diğer iyi haber ise, güç santrallerinin ana ağdan “izole” olmasından dolayı saldırıdan etkilenmemesi.

Mart 2019 itibariyle Windows Defender LockerGogayı algılayamadı. Bununla birlikte antivirüs programı devre dışı bırakılabilir durumda ise ya da saldırganlar LockerGoga’nın farklı bir türevini oluşturmuş ise, bu zararlı antivirüs programları tarafından algılanmamaya devam edebilir. Bu çerçevede, uzmanlara göre, bu saldırılara karşı korunmanın daha etkili bir yolu ise, zararlı yazılımların davranışlarını tanımlayan ve olağan dışı zararlı yazılım davranışlarının kalıplarını arayan çözümler uygulamak.

Anormal sistem davranışlarına dayanan fidye yazılımlarının tespiti için Endpoint Detection& Response (EDR) tedarikçileri, çözümlerine bazı sezgisel özellikler ekleyerek fidye yazılımı tespitini kolaylaştırmaya çalışmakta.

Bu çerçevede, fidye yazılımının davranışsal algoritma özelliklerine bakmakta fayda var.

  1. Kimlik Bilgisi Dökümü

Çoğu EDR üreticisi, fidye yazılımı tespitinde Mimikatz gibi damping araçları kullanılarak, fidye yazılımı tespitini yapıyor. Bu durumda yapılması gereken ise, birkaç farklı değişken ekleyerek ile güvenlik kontrollerinizi bu değişkenlere göre test etmek.

  1. Yanal Hareket

İdeal durumda kurumunuzu, bir kullanıcının veya sürecin kurum içerisinde yanal hareket etme özelliğini yani erişim seviyesini arttırma ihtimalini en aza indirecek şekilde tasarlamak. Nitekim, kötü amaçlı yazılımlar, genelde şüphe çekmeyecek bir kullanıyıca e-mail içerisinde bir ek ya da bağlantı göndererek tıklamasını sağladıktan sonra kurumun içerisine giriyor. Bu çerçevede, güvenlik hattınızı, saldırganın sistemin içerisine girdikten sonra bir sistemden toplanan kimlik bilgilerini ve diğer hassas verileri almalarını ve bunları ağ üzerinden dosyalara erişmek için kullanmalarını engelleyebilecek şekilde oluşturmak gerekiyor.

  1. Şüpheli İşlem Etkinliği

LockerGoga, isimli fidye yazılımı dosyaları şifrelemek için bir dizi işlem başlatır. Bu beklenen ve tipik bir kullanıcının yapacağı işlemlerden ve çalışmalardan biri değildir. Modern güvenlik çözümleri davranışsal sorunları bulacak şekilde tasarlanmıştır ve bu çözümlerin bu şekilde bir davranışı anormal olarak algılaması muhtemeldir. Peki bu davranışları sistemimizin tespit edebileceğinden emin olmak için ne yapmalıyız? Güvenlik kontrolleri bu davranışı tespit edip edemediğine dair bir doğrulama yapabilmek için bu tür davranışları taklit edeceğimiz bir senaryo oluşturarak güvenlik sistemimizi kontrol etmek önemli bir adım olabilir.

  1. Çok Sayıda Şifreleme İşlemi

Bir sistemde dosyaları şifreleyen bir çok fidye yazılımı çeşidi olabilir. Bu durumda yine davranışsal analiz ve taramalar bir kullanıcının sisteminde olağandışı şifreleme faaliyetlerini tespit edebilmeli ve güvenlik sistemini uyarabilmeli. Fidye yazılımlarının şifreleme etkinliğini taklit eden bir senaryo oluşturarak bu senaryoyu deneyebilir ve sisteminizin sizi fidye yazılımlarına karşı koruduğuna dair emin olabilirsiniz. Böylece bir saldırıya karşı ne gibi önlemler aldığınızdan emin olur ve risk yönetimi yaparak gelebilecek atakların zararlarını en aza indirmiş olursunuz.

  1. Yedekleme Dosyalarının Ve Sistem Logların Silinmesi

Saldırganlar, bir fidye yazılımının oluşturacağı hasarı maksimize edebilmek için, tipik olarak yedek dosyaları ve sistem olay günlüklerini (logları) siler. Benzer şekilde, LockerGoga’nın bazı farklı türlerinin dosya şifreleme işlemini tamamladıktan sonra Windows işletim sistemi üzerinden olay günlüklerini sildiğine dair bir analiz de gerçekleştirildi. Buna karşın, CrowdStrike gibi birçok EDR satıcısı, yedek dosyaları silmeye ve işlemi durdurmaya çalışan hileli bir işlemi algılayabilecek bir sistem sunuyor.

Norsk Hydro’da Ne Yaşandı

Norveç alimünyum ve enerji devi olan Norsk Hydro,19 Mart 2019 tarihinde, siber saldırganlar tarafından bir fidye yazılımı türü olan LockerGoga’nın geliştirilmiş yeni bir versiyonu kullanılarak saldırıya uğradı. Bu süre zarfında ise şirket, global bütün operasyonlarını durdurmak zorunda kaldı.

Norsk Hydro şirketinin siber güvenlik analistleri araştırmalarında sistemlerinde olan LockerGoga’nın 6 farklı türünü buldular. Norsk Hydro tesislerine bulaşan ve birkaç iş birimini zorlayan LockerGoga bazı departmanları manuel işlemlere geçmeye zorladı. Norveç Ulusal Güvenlik birimi de bu saldırıyı araştırdı ve daha önceden LockerGoga virüsünün Norveç Ulusal Güvenlik birimi tarafından tespit edildiği de ifade edildi.

Saldırının ardından, Norsk Hydro, şirket üretiminin çoğunun normal düzenine döndüğünü, ancak bazı idari görevlerin ertelenmek zorunda kaldığını belirtmişti. Şirketin mali sorumlusu yaptığı açıklamada Norsk Hydro şirketinin bu saldırıya karşılık olarak hiçbir şekilde fidye ödemediğini belirtti. Bazı araştırmacılar, saldırının araştırılmasının çok zor olduğunu çünkü virüsün bazı şaşırtıcı hamleler yaptığı belirtiyor. Son olarak, uzmanların görüşlerine göre, şirketlerin “korkulu rüyası” haline gelen fidye yazılımlarına karşı önleyici aksiyonlar almak mümkün. Bunlardan biri ise doğru ağ segmentasyonu yapmak. Nitekim araştırmacılara göre, şirketteki ağ segmentasyonu doğru olsaydı fidye yazılımını durdurmak ve saldırıyı sınırlamak çok daha kolay olabilirdi (1).

Kaynakça:

1)      Kaspersky Daily, “Alüminyum sektörünün dev şirketi Hydro, fidye yazılımı saldırısına uğradı”, 25.03.2019, Erişim:https://www.kaspersky.com.tr/blog/hydro-attacked-by-ransomware/5803/

2)      Özden Erçin, “Norsk Hydro Ransomware Saldırısından Çıkarılacak Dersler”, 21.08.2019, Erişim:https://ozdenercin.com/2019/08/21/norsk-hydro-ransomware-saldirisindan-cikarilacak-dersler/

Faydalanılan Kaynaklar:

ATTACK IQ https://attackiq.com/blog/2019/04/14/locker-goga-the-2019-addition-to-the-ransomware-family/

ProQuesthttps://search.proquest.com/docview/2206932910/73B5F94FDBE84340PQ/6?accountid=16327#center

Derleme: Ceyda Kahya

Yazının tamamına  https://ccip.khas.edu.tr/post/28/bir-sirketi-felc-eden-saldiri-lockergoga-ve-saldirinin-anatomisi adresinden ulaşılabilir.


0 yorum

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir