Safe Mode je dijagnostički način operativnog sistema. Prvenstveno se koristi za rješavanje problema učitavanjem samo bitnih „drajvera“ i „usluga“.
U bezbjednom režimu, sistem radi sa minimalnom funkcionalnošću, što olakšava „izolovanje osnovnih uzroka“ problema „nestabilnosti“ i „performansi“ sistema.
ESET-ovi istraživači su nedavno otkrili da Embargo ransomware hakeri aktivno zloupotrebljavaju Safe mode kako bi onemogućili sigurnosna rješenja.
Embargo Ransomware hakeri zloupotrebljavaju siguran način rada
Embargo ransomware je prvi put otkriven u junu 2024. pomoću dva specijalizirana Rust programirana alata.
Ovdje ispod, spomenuli smo ova dva specijalizovana Rust programirana alata:-
- MDeployer (maliciozni učitavač)
- MS4Killer (ubica za otkrivanje krajnje tačke i odgovor)
Ova „RaaS“ grupa posebno cilja na „američke kompanije“ tako što koristi „prilagođeno kompajlirane alate“ koji su uglavnom prilagođeni okruženju svake žrtve.
.webp)
Slijed napada počinje kada se “MDeployer”, koji se obično implementira putem “planiranog zadatka” pod nazivom “Perf_sys” koji dešifrira dvije šifrovane keš datoteke (“a.cache” i “b.cache”) koristeći “RC4 ključ za šifrovanje”.
.webp)
MDeployer zatim učitava MS4Killer, koji iskorištava ranjivi potpisani drajver (“probmon.sys” v3.0.0.4) putem tehnike nazvane “BYOVD” da bi onemogućio sigurnosna rješenja, navodi ESET .
Nakon što “MS4Killer” uspješno narušava sigurnost sistema, “MDeployer” implementira Embargo ransomware korisni teret koji šifrira datoteke sa nasumičnim “šestoslovnim heksadecimalnim ekstenzijama” (poput “.b58eeb”), ispušta “napomenu o otkupnini” pod nazivom “HOW_TO_RECOVER .txt” u svakom šifrovanom direktoriju i kreira “mutex” (objekat sistemske sinkronizacije) pod nazivom “IntoTheFloodAgainSameOldTrip”.
.webp)
Grupa koristi strategiju dvostruke iznude. Osim toga, prijeti da će objaviti ukradene podatke na svom mjestu curenja i nudi komunikacijske opcije putem svoje infrastrukture i “Tox protokola”.
Iako ovo ilustruje dobro opremljenu i tehnički naprednu operaciju koja se pojavila nakon prekida rada drugih velikih grupa ransomwarea kao što su “BlackCat” i “LockBit”.
Osim toga, “MS4Killer” implementira sofisticiranu strategiju šifrovanja koristeći tehniku “XOR šifra” kako bi prikrio tri kritične komponente unutar svog binarnog koda.
Tri kritične komponente su “nizovi poruka za evidentiranje”, “ključ za šifrovanje RC4 (konkretno ‘FGFOUDa87c21Vg+cxrr71boU6EG+QC1mwViTciNaTUBuW4gQbcKboN9THK4K35sL’),” “lista imena ciljnih procesa.”
Kada se implementira, koristi Windows API funkciju “OpenProcessToken” za manipulaciju procesom i uključuje prilagođenu funkciju dešifrovanja za otkrivanje ovih skrivenih nizova.
Alat radi tako što postavlja ranjivi drajver pod nazivom ‘probmon.sys’ na dvije određene lokacije (“C:\Windows\System32\drivers\Sysprox.sys” ili “C:\Windows\Sysmon64.sys”) kojima se upravlja preko tri pseudonimi usluge:-
- Sysprox
- Proxmon
- Sysmon64
Ovaj drajver je u početku pohranjen kao “RC4-šifrirani blob” koji je dodatno osiguran korištenjem “XOR enkripcije”.
Primarna funkcija malicioznog softvera uključuje kontinuirano praćenje i prekid procesa sigurnosnog softvera korištenjem “SeLoadDriverPrivilege” za upravljanje drajverima i korištenjem API-ja “CreateServiceW” za kreiranje usluge.
Međutim, to se radi uz održavanje njegovih operacija putem “strateških modifikacija registra” na stazi “HKLM\SYSTEM\ControlSet001\services”.
Izvor: CyberSecurityNews