Truva Atı SynAck’in yeni yöntemlerle saldırdığı keşfedildi

Kaspersky Lab araştırmacıları SynAck fidye yazılımının yeni bir sürümünü keşfetti. Yeni sürüm, yasal işlemlerin içine gizlenerek anti-virüs güvenliğini aşmak için Doppelgänging adlı yöntemi kullanıyor. Doppelgänging yönteminin fidye yazılımlarda kullanıldığı ilk kez görülüyor. SynAck yazılımını geliştirenler tespit edilmekten ve analizden kaçınmak için başka yöntemler de kullanıyor. Bunlar arasında, örnek derlemenin öncesinde tüm zararlı kodları gizlemek ve eleme yöntemi kullanıldığı anlaşıldığında çıkmak gibi teknikler yer alıyor.

2017 Sonbaharı’ndan beri bilinen ve Aralık ayında genellikle İngilizce konuşan kullanıcıları hedef aldığı gözlenen SynAck fidye yazılımı, uzak masaüstü protokolü kaba kuvvet saldırısının ardından zararlı yazılımın manuel olarak indirilip kurulmasıyla çalışıyor. Kaspersky Lab araştırmacılarının keşfettiği yeni sürüm çok daha gelişmiş bir yaklaşımla, tespit edilmekten kaçınmak için Process Doppelgänging adı verilen bir yöntem kullanıyor. 

Aralık 2017’de rapor edilen Process Doppelgänging yönteminde, Windows’un dahili bir işlevinden ve Windows işlem yükleyicisinin belgelenmemiş bir uygulama şeklinden yararlanan dosyasız bir kod bulaştırılıyor. Windows’un dosya işlemlerini yapma şeklini manipüle eden saldırganlar, zararlı işlemleri bilinen zararlı kodlar barındırsalar da zararsız ve yasal süreçler gibi gösterebiliyor. Doppelgänging yönteminde geride takip edilebilecek bir iz kalmıyor. Bu nedenle bu tür bir saldırıyı tespit etmek çok zor. Bu yöntemin fidye yazılımlarında kullanılmasına ilk kez rastlanıyor.

SynAck yazılımının yeni sürümünde dikkat çeken diğer özellikler arasında şunlar yer alıyor:

Bu Truva Atı, yürütülebilir kodunu derlemeden önce gizliyor. Diğer fidye yazılımlarda görülen kodun paket haline getirilmesi yönteminin aksine bu yöntem sayesinde araştırmacıların zararlı kodu analiz edip ters mühendislik uygulaması zorlaşıyor.

Gerekli API işlevine bağlantıları da gizleyen yazılım, karma kodları gerçek diziler yerine başka dizilerde saklıyor.

Truva Atı kurulduktan sonra yürütülebilir dosyasının çalıştığı dizini inceliyor. ‘Doğru olmayan’ bir dizinden başlatılmaya çalışıldığını tespit ederse çıkıyor. Böylece otomatik bir eleme yönteminden kaçınıyor.

Zararlı yazılım, hedef bilgisayarda Kiril alfabesine ayarlı bir klavye tespit ederse de başlamadan çıkıyor.

SynAck hedef cihazdaki dosyaları şifrelemeden önce, çalışan tüm işlemlerin ve hizmetlerin karma kodlarını kendi gömülü listesiyle karşılaştırıyor. Bir eşleşme tespit ederse o işlemi durdurmaya çalışıyor. Bu yolla durdurulan işlemler arasında sanal makineler, ofis uygulamalar, kod çeviriciler, veri tabanı uygulamaları, yedekleme sistemleri, oyun uygulamaları ve daha fazlası yer alıyor. Çalışan işlemlerle bağlantısı bulunan değerli dosyalar böylece daha kolay ele geçirilebiliyor.
Araştırmacılar SynAck’in yeni sürümüyle hedefli saldırılar düzenlendiğine inanıyor. Bugüne kadar ABD, Kuveyt, Almanya ve İran’da sınırlı sayıda saldırı tespit edildi. Saldırılarda 3000 ABD doları fidye talep ediliyor.