Beyaz Şapka Ağustos 2017 - Page 9

Sayı: 35 [ Ağustos 2017 ] 3. Flash, Poweshell ‘i çağırır. Powershell üzerinde koşan her bir komut me- mory üzerinde çalışır. 4. Powershell kullanan saldırgan C2 aktivitesi ile arka kapıyı kurmuştur. Artık zararlı kodlarını kendi sisteminden gönderebilir. 5. Saldırgan herhangi bir zararlı yazılım (malware) kullanmadan sistemi ele geçirmiştir. Dosyasız ataklara gelecek sayılarda daha detaylı yer vereceğim. Birçok gü- venlik araştırmacısı 2017 ve 2018 yıllarında dosyasız atakların yüzdesinin %70 seviyelerine geleceğine öngörmektedir. Gelelim konumuza, SOREBRECT. Saldırgan bir dosya kullanmadan nasıl bir fidye aktivitesi gerçekleştirmiş hep b eraber bakalım. Bir Bakışta SOREBRECT Anatomisi Şekilde de göreceğimiz üzere sırayla SOREBRECT şu aktiviteleri gerçekleştir- miştir. 1. PSEXEC; uzaktan komut çalıştırabilen bir meşru Windows komut-satırı uy- gulaması kullanılmıştır. Amaç zararlı kodları diske yazmadan çalıştırmaktır. 2. Brute-force veya önceden açığa çıkan admin hesabı PSEXEC ‘in manipüle edilmesine başlangıçtır. Keza PSEXEC ‘in manipülasyonu Petya, SAMSAM gibi zararlı örneklerinde daha öncesinde kullanılmıştır. 3. SOREBRECT kodları PSEXEC üzerinden svchost.exe Windows prosesine kod enjeksiyonu yapılır. Hatta bununla kalmaz main binary kendini imha eder. 4. Şifreleme payloadu yüklenen svchost.exe çalışmaya devam ettikçe hedef dosya uzantıları şifrelemeye başlar. 5. TOR ağı üzerinden anonim olarak komut kontrol aktivitesi gerçekleştiren 9