Siber Tehdit Araştırma ekibi , siber ortamda aktif şekilde yaygınlaşan yeni bir varyant aile şifreleme yöntemi Adylkuzz [GAV: Adylkuzz.A ve Adylkuzz.B] raporladı.
Bu makalenin hazırlandığı tarihte, zararlı yazılımın hedef makineden yararlanmak ve kendi başına yayılması için (MS17-010) güvenlik açığı kullanma özelliği bulunmamaktadır. Saldırganlar, üçüncü parti yazılım araçları kullanarak hedef makine IP'lerini / bağlantı noktalarını tarayarak ve hedef sistemde "Adylkuzz" kötü amaçlı yazılım yükleyerek güvenlik açıklarını ayrı ayrı belirliyor.
Enfeksiyon Döngüsü:
Malware, aşağıdaki dosyaları sisteminize ekler:
- Malware.exe
- % Windir% \ Fonts \ wuauser.exe
Trojan, sisteminizi yeniden başlattığınızda kalıcılığı sağlamak için Windows'a aşağıdaki hizmeti ekler:
Bilgisayar tehlikeye girince, kötü amaçlı yazılım kendi tekrar çalıştırılabilir dosyasını % windir% \ Fonts \ klasörüne kopyalar ve Adylkuzz madencisini indirir.
Başarılı bir şekilde kullanılmasıyla malware, WannaCry fidye yazılımı gibi benzer tehditler tarafından daha fazla bulaşmayı önlemek ve şayet var ise sisteminizde çalışan SMB iletişimini durdurmak için hedef bilgisayarda aşağıdaki komutları çalıştırır.
Hedef sistemdeki bazı uygulamaları durdurmak için aşağıdaki komutları çalıştırır:
Kötü amaçlı Yazılım, aşağıda gösterildiği gibi bir API tablosu enjekte eder:
Kötü amaçlı yazılım, aşağıda gösterildiği gibi kriptocurrency madenci Adylkuzz'ı hedef makineye yükler :
Kumanda ve Kontrol (C & C) Trafiği
Malware , TCP ve UDP portları üzerinden C & C Sunucu iletişimi gerçekleştirir. Kötü amaçlı yazılım, sistem UID'inizi kendi C & C sunucusuna gönderir. Bazı örnekler aşağıda verilmiştir:
Bu tür benzer saldırılardan korunmak için Network altyapınıza mutlaka gelişmiş bir Firewall cihazı bağlamanızda fayda var. Ve mutlaka düzenli yedeklemenizi yapınız. Eğer Firewall cihazı almayı düşünmüyorsanız mutlaka lisanslı bir gelişmiş bir antivirüs kullanmayı ihmal etmeyiniz.