İncelemeye Genel Bakış
Pakistan’daki bir yüksek öğretim kurumu, Sangfor Cyber Guardian Olay Müdahale (IR) ekibine Medusa fidye yazılımı saldırısını bildirdi. Virüs, ağ ortamındaki birden fazla ana bilgisayara ve sisteme bulaştı.
Sangfor’la yapılan anlaşmanın öncesinde başka bir güvenlik şirketi, olaya müdahale için özelleştirilmiş, ücretli bir üçüncü taraf DFIR Aracı kullanarak olayı araştırmaya çalıştı. Ancak fidye yazılımının bulaştığı tarihe ait kritik kayıt dosyalarının eksik olması nedeniyle işe yarar bilgiler elde edemediler. Sonuç olarak, virüs bulaşan sunuculardan birindeki (SERVER_16) D:\ sürücüsü biçimlendirildi. Üçüncü taraf yazılım kayda değer bir bilgiye erişemediği için mevcut yedeklemelerden D:\ sürücüsü geri yüklendi ve kullanılmaya devam etti.
Aşağıdaki ekran görüntüsü, yeniden biçimlendirmeden ve geri yüklemeden önce şifrelenmiş dosyaların bir örneğini göstermektedir. SERVER_16 yedeklerden geri yüklendiğinden, Sangfor Cyber Guardian Olay Müdahale (IR) ekibi 12 Mart 2023’te araştırma yapmak üzere görevlendirildiğinde, sunucuda Medusa’nın bulaştığı hiçbir dosya kalmamıştı.
Son kullanıcı, Sangfor IR ekibine, Medusa fidye yazılımı saldırısıyla ilgili potansiyel ipuçlarını ve kanıtları belirlemek amacıyla Sangfor’un olay müdahale araştırması için yalnızca SERVER_16’nın mevcut olduğunu bildirdi.
SERVER_16 Analizi
12 Mart 2023 tarihinde SERVER_16 ana bilgisayarına Medusa fidye yazılımı bulaştığı gözlemlenmişti. Kullanıcı, D:\ sürücüsündeki dosyaların şifrelendiğini ve “.MEDUSA” uzantısıyla eklendiğini gösteren aşağıdaki ekran görüntüsünü sağladı. Ekran görüntüsü, sürücü yedeklemesinden geri yüklenmeden önce alınmıştı.
Sangfor IR ekibi 12 Mart 2023’te konuşlandırıldığında, etkilenen D:\ sürücüsü yedeklemeden geri yüklenmişti. Kalan sürücülerde de (C:\ ve F:\) Medusa ile şifrelenmiş dosyalardan başka hiçbir iz yoktu.
Ekran görüntüsüne göre en erken şifreleme zamanı 2 Mart 2023’te 08:51 GMT+5’te gerçekleşti. Bu bilgi, saldırı vektörünü tanımlamak ve virüslü ana bilgisayarın sistem günlüklerindeki kötü amaçlı etkinlikleri izlemek için bir başlangıç noktası görevi gördü.
Windows Güvenlik Olay Kayıtları: Olay kaydı için depolama alanının küçük olması nedeniyle yeni kayıtlar, mevcut kayıtların üzerine yazılmıştı. 12 Mart 2023’tan önce en eski kayıt 8 Mart 2023’e tarihleniyor.
Uzak Masaüstü Protokolü (RDP) Kayıtları: RDP kayıtları, 2 Mart 2023’te 08:46 GMT+5 (11:46 GMT+8) itibarıyla 172.20.101.77 IP adresinden virüslü ana bilgisayara uzaktan oturum açıldığını ortaya çıkardı. Müşteride çalışanlar, 15 Mart 2023’te bu IP adresini, kime ve hangi iş istasyonuna bağlı olduğu da dahil olmak üzere bilgi sahibi olmadıklarını doğruladı.
Microsoft-Windows-TerminalServices-RemoteConnectionManager: 172.20.101.77 tarihli en eski uzaktan erişim, “Nouman” kullanıcısına ait 14 Kasım 2022 tarihli kayıttı.
Ayrıca 1 Mart 2023 tarihinde, mesai saatleri dışında (04:36 GMT+5),172.20.11.65 “Yönetici” hesabıyla başka bir şüpheli giriş daha gözlemledik. Bu etkinlik, kullanıcının doğrulamasıyla, oturum açma bilgilerinin kimden ve nereden kaynaklandığını, etkinliğin yetkili bir kullanıcı veya satıcı(lar) tarafından meşru erişim olup olmadığını anlamamızı sağladı.
PowerShell Kayıtları: PowerShell kayıtları, şirketin doğru yetkilendirmeyle yürütülüp yürütülmediğini belirlemek için müşterinin doğrulamasını gerektiren bir dizi şüpheli geçmiş komutu ortaya çıkardı.
25 Kasım 2022’de, etki alanı denetleyicisindeki Active Directory veritabanının IFM (Medyadan Yükleme) yedeğini oluşturmak için ntdsutil.exe adlı bir komut satırı aracı bir dizi bağımsız değişkenle çalıştırıldı.
Analizimiz ntdsutil.exe aracılığıyla yürütülen aşağıdaki komutları ortaya koydu:
- “ac i ntds” – Bu komut, Active Directory Etki Alanı Hizmetleri Örneğine bağlanır.
- “ifm” – Bu komut IFM (Medyadan Yükleme) moduna geçiş yapar.
- “create full c:\temp” – Bu komut, Active Directory veritabanının tam yedeğini oluşturur ve onu C:\temp dizinine kaydeder.
- “q” – Bu komut, IFM modundan çıkar ve AD DS Örneği bağlamına geri döner.
- “q” – Bu komut ntdsutil.exe’den çıkar.
Bu komutlar, Active Directory veritabanının tam yedeğini oluşturma ve yerel bilgisayardaki C:\temp dizinine kaydetme girişimini gösterdi. Komutların, yönetici ayrıcalıklarının gerekli olduğu bir etki alanı denetleyicisinde yürütülmesi gerektiğini unutmayın.
BloodHound Aracı: PowerShell etkinlik kayıtlarına göre 25 Kasım 2022’de BloodHound adlı aracın da virüslü ana bilgisayarda çalıştığı öğrenildi. Bloodhound, genellikle etki alanı yöneticileri, şema ve kurumsal yönetici etki alanı hesapları gibi yüksek ayrıcalıklı etki alanı hesaplarını ele geçirmek için kullanılan potansiyel saldırı yollarını belirlemek üzere Windows Active Directory (AD) ortamlarını analiz eden bir araçtır.
Bunu, AD ortamındaki çeşitli nesneler arasındaki ilişkileri görselleştirerek ve saldırganların ağda yanal olarak hareket etmek için kullanabileceği yolları belirleyerek yapar. BloodHound C# Ingestor, analiz için AD’den veri toplayan bir BloodHound bileşenidir.
Bloodhound komut dosyasına buradan erişilebilir: https://github.com/BloodHoundAD/BloodHound
25 Kasım 2022’de Bloodhound aracıyla aynı dizinden ilgili birkaç komut dosyası çalıştırılmaya çalışıldı.
Bloodhound aracının çalıştırılmasından önce, 25 Kasım 2022’de 16:27 GMT+5 (19:27 GMT+8) güvenlik duvarı segmentinden (172.20.11.1) “Nouman” adlı kullanıcı hesabıyla, 14 Kasım 2022’deki RDP etkinliğinde olduğu gibi, uzaktan erişim sağlanıyordu.
Analiz Sonuçları
Mevcut sistem kayıtlarına ve Sangfor IR ekibinin incelemesi öncesinde virüs bulaşmış ana bilgisayarın restorasyonuna dayanarak aşağıdaki gözlemler yapıldı:
Medusa Ransomware, Mart 2023’ün başlarında son kullanıcının çalışma saatleri başlamadan önce şifrelemeye başladı.
DHCP kurulumu nedeniyle müşterinin bilmediği bir IP adresinden birden fazla şüpheli uzaktan oturum açma işlemi gerçekleşmişti. IP adresi ve ana makine ilk olarak 14 Kasım 2022’de yerel yönetici ayrıcalıklarına sahip bir kullanıcı hesabı kullanılarak ortaya çıkmıştı.
Kasım 2022’den Mart 2023’teki saldırı gününe kadar şüpheli bir şekilde gizlenmiş birkaç PowerShell komut dosyası çalıştırılmış, bu da saldırıyı gerçekleştirmeden önce bir keşif dönemi olduğunu gösteriyor.
Şüpheli komut dosyalarından biri, hackerın, genellikle etki alanı yöneticisi, şema yöneticisi ve kurumsal yönetici hesapları gibi güçlü etki alanı hesaplarını ele geçirmesi için tüm etki alanı ağı kurulumu haritasını çıkarmasına olanak sağladı.
Son kullanıcı, sonrasında ilk olarak ağdaki bilinmeyen IP adresinin ana bilgisayarını bulmak için araştırmayı devraldı. Saldırıda kullanılan diğer kötü amaçlı dosyalar ve araçlar, virüs bulaşan ana bilgisayarın yeniden biçimlendirilmesi ve yedekten geri yüklenmesi nedeniyle belirlenemedi.
Bununla birlikte son kullanıcıya, Sangfor Cyber Guardian IR ekibinin çeşitli fidye yazılımı vakalarındaki deneyimine dayanarak, yaygın olarak kötüye kullanılan güvenlik açıklarına karşı güvenlik kontrollerini iyileştirmeye yönelik öneriler sunuldu. Önerilerden bazıları:
- Çoklu anti-kripto virüs kontrolü ile uç nokta güvenliği uygulayın. Sangfor Endpoint Secure, kripto virüs saldırılarına ve şüpheli dosyalara karşı çeşitli tespit, önleme ve sınırlama özelliklerine sahiptir. Bu özellikler arasında bal peteği kum havuzu, anti-brute force (kaba kuvvet) koruması, dosyasız yürütme koruması ve tespit edilen kripto virüs bulaşmış dosyalar veya yürütülebilir dosyalar için mikro-segmentasyon bulunmaktadır.
- Günlük depolama boyutunun, tercihen bölümlere ayrılmış bir ortamda en az 6-12 aylık sistem kayıtlarına sığacak şekilde genişletildiğinden emin olun.
- Yönetici ayrıcalıklı hesapları karmaşık bir parola politikasıyla düzenli aralıklarla değiştirilmesini sağlayın.
- Kritik varlıklarınızı ve Endpoint Secure ajanlarını günün her saatinde izlemek için sürekli tehdit izleme veya Sangfor Cyber Guardian MDR hizmetinden yararlanın. Sektördeki en iyi tehdit yanıtlama uygulamalarını kullanın.
- Ağ içinde ağ tabanlı tespit ve yanıtlama (NDR) araçları gibi diğer güvenlik kontrollerini kullanarak, yaygın kripto virüs saldırısı taktiklerinin tekniklerinin ve prosedürlerinin (TTP) tespiti üzerine hızlı bir yanıt için savunma derinliği yaklaşımı ile Sangfor Cyber Command gibi araçları kullanın.
- Medusa veya kripto virüs saldırısı tespit edildiğinde, saldırı giriş noktasını, ilk etkilenen cihazı ve saldırı sonucu gözlemlenen güvenlik eksikliklerini düzeltme adımlarını ortaya çıkarmak için hemen Incident Response (IR) hizmeti için Sangfor Cyber Guardian ekibi ile iletişime geçin.