Ransomware saldırı tekniklerine değinmeden önce, ransomware türlerine ve amaçlarına bir göz atalım. İki ana tür ransomware bulunmaktadır: crypto ve locker ransomware. Crypto ransomware, sistemdeki bütün dosyaları şifrelerken, locker ransomware adından da anlaşılacağı gibi cihazı kitleyerek erişimi tamamen engelleyen bir ransomware türüdür. Locker ransomware, crypto ransomware’a göre daha az kullanılır.
Ransomware saldırılarının asıl amacı, dosyalarınızı şifreleyerek bunun karşılığında fidye talep etmektir. Ancak zamanla, sadece dosya şifrelemekle kalmayıp farklı teknikler kullanarak kurbanları daha da zor durumda bıraktılar. Tehdit aktörleri, kurumların yedek aldığını ve bu nedenle fidye ödemediğini anlayınca, şifreleme işleminden sonra veri sızdırmaya başladılar. Bunun da üstüne kurban hala fidye ödemeyi reddediyorsa, sızdırılan verileri kurumun müşterileriyle veya rakip firmalarla paylaşarak, kuruma şantaj yaparak fidye ödemeye zorladılar. Kurbanın fidyeyi ödemesi için her yolu deniyorlardı.
Tehdit aktörleri tarafından bu kadar fazla tercih edilmesinin sebebi, yüksek karlı ve düşük risk taşıyan bir saldırı türü olmasıdır. Özellikle RAAS (Ransomware as a Service) ve IABS (Initial Access Broker Services) modelleri ile birlikte daha fazla tercih edilmeye başlandı. Bu modeller, teknik bilgisi olmayan bir kişinin bile ransomware saldırısı gerçekleştirebilmesine olanak tanır.
RAAS, ücret karşılığında blog veya forum sitelerinden ransomware yazılımı satın alınabilen bir iş modelidir. Son zamanlarda birçok ransomware grubu bu modele geçiş yaparak, ransomware yazılımı satmaya başlamıştır. Bu sayede, saldırganlar kendi yazılımlarını geliştirmek yerine, hazır bir çözüm satın alarak saldırılarını gerçekleştirebilirler.
IABS ise forum veya farklı siteler üzerinden, kurumlara ait yetkisiz erişim (VPN erişimi, zafiyetler vb.) satılan bir modeldir. Bu model, saldırganlara hedef kurumlara giriş yapma imkanı sunar. Saldırganlar, bu yetkisiz erişimleri kullanarak kurum içindeki sistemlere sızabilir ve ardından ransomware saldırısını gerçekleştirebilirler.
Şimdi asıl konumuza gelirsek, ransomware saldırılarında en çok kullanılan 3 teknik bu şekilde:
- T1486 Data Encrypted For Impact
- T1490 Inhibit System Recovery
- T1082 System Information Discovery
T1486 Data Encrypted For Impact
Ransomware saldırılarında, daha hızlı işlem yapılabilmesi ve şifrelenen dosyanın boyutunun küçük olması nedeniyle simetrik şifreleme algoritmaları tercih edilir. Ancak, simetrik şifreleme algoritmalarında ransomware grupları için bir sorun vardır: Şifreleme anahtarı çok önemlidir ve bu anahtarın kurbanın sisteminde bulunması, 3. parti bir yazılımla ifşa edilmesi durumunda şifrelenmiş dosyaların kolayca çözülmesine neden olabilir.
Tehdit aktörleri, bu sorunu çözmek için şifreleme anahtarını asimetrik şifreleme algoritmalarını kullanarak şifrelerler. Bu sayede, tehdit aktörü şifreleme anahtarını rahatlıkla kurbanın makinasında bırakabilir. Bu yaklaşım, simetrik şifreleme algoritmalarının güvenliğini artırır ve dosyaların çözülmesini daha zor hale getirir.
Ayrıca, bu saldırı tekniği, Picus’un 2024 yılında hazırladığı en çok kullanılan 10 MITRE ATT&CK tekniği raporunda 5. sırada gösterilmiştir. Bu durum, saldırganların bu teknikle sıkça başvurduğunu ve ransomware saldırılarının giderek sofistike bir hal aldığını göstermektedir.
T1490 Inhibit System Recovery
İşletim sistemi kurtarma özelliklerini devre dışı bırakma veya silme tekniği olan Inhibit System Recovery, saldırının etkisini artırmayı amaçlar. Saldırganlar, sistem kurtarma özelliğini devre dışı bırakmak için çeşitli teknikler kullanır. Bu teknikleri detaylı bir şekilde inceleyelim:
1- Volume Shadow Copy Silinmesi
Saldırganlar, Volume Shadow kopyalarını silerek geri yükleme seçeneklerini engelleyebilirler. Volume Shadow Copy, bilgisayarın dosya ve disk bölümlerinin anlık görüntülerini alarak kopyalar. Saldırganlar, bu kopyaları silerek geri yükleme işlemlerini engellerler. Kopyaları silmek için farklı araçlar kullanılabilir. Örneğin vssadmin.exe, vmic ve powershell:
- vssadmin.exe delete shadows /all /quiet
- wmic shadowcopy delete /nointeractive
- Get-WmiObject Win32_Shadowcopy | ForEach-Object { $_Delete(); }
2- Volume Shadow Kopyalarını Boyutlandırarak Sistem Tarafından Silinmeye Çalışılması
Bu teknikte, saldırganlar dosyayı direkt olarak silmek yerine, sistem tarafından silinmesini hedeflerler. VSS kopyalarının boyutunu azaltarak sistem tarafından otomatik olarak dosyanın silinmesini sağlarlar. Eğer düşürülen boyut asıl dosyanın boyutundan düşükse sistem tarafından otomatik olarak dosya silinir. Bu işlem için aşağıdaki komut kullanılır:
- vssadmin resize shadowstorage /for=c: /on=c: /maxsize350MB
3- Windows Kurtarma Özelliklerini Devre Dışı Bırakma
Saldırganlar, Windows kurtarma özelliklerini devre dışı bırakmak için BCDedit aracını kullanır. BCDedit, Windows işletim sistemi tarafından kullanılan başlangıç yapılandırma verilerini düzenlemek için kullanılır. Bu işlem için şu komutlar kullanılabilir:
- bcdedit /set {default} recoveryenabled No
- bcdedit /set {default} bootststuspolicy ignoreallfailures
İlk komut, otomatik yeniden yüklemeyi engellerken, ikinci komut hataları görmezden gelerek makinanın çalışmasına devam etmesini sağlar.
4- Backup Verilerinin Silinmesi
Saldırganlar, backup dosyalarını yönetmek için kullanılan wbadmin aracını kullanarak backup dosyalarını silebilirler.
- wbadmin DELETE SYSTEMSTATEBACKUP
- wbadmin delete catalog -quiet
Bu komutlarla, saldırganlar kurbanı fidye ödemeye zorlayarak saldırılarını daha etkili hale getirebilirler.
T1082 System Information Discovery
Saldırganlar, ele geçirilmiş bir sisteme dair bilgi toplamak için “System Information Discovery” tekniğini kullanabilirler. Ransomware grupları da hedef makinalar için benzersiz bir tanımlayıcı oluşturmak için bu tekniği kullanabilirler. Örneğin, kayıt defterindeki değerlerini sorgulayarak kriptografik makina GUID’sini elde edebilirler. Ayrıca, makine adı, seri numarası gibi bilgileri de sorgulayarak benzersiz bilgiler elde edebilirler. Bu bilgiler, hedef sistemlerin özelliklerini belirleyerek daha etkili bir saldırı planlamalarına yardımcı olabilir.
Kaynaklar:
- https://www.datto.com/blog/common-types-of-ransomware
- https://www.picussecurity.com/resource/report/picus-red-report-2024
- https://flare.io/learn/resources/blog/ransomware-gangs/
- https://www.picussecurity.com/resource/blog/top-5-ransomware-attack-techniques
