Qilin Ransomware: Μία Σοβαρή Απειλή για τις Υποδομές Εταιρειών
Η ομάδα πίσω από το Qilin ransomware, γνωστό και ως Agenda, Gold Feather και Water Galura, έχει εξελιχθεί σε μία από τις πιο επικίνδυνες ομάδες επιθέσεων ransomware-as-a-service (RaaS). Με πάνω από 40 θύματα τον μήνα, η ομάδα αυτή προσαρμόζεται συνεχώς για να καταστείλει την ασφάλεια των υποδομών οργανισμών παγκοσμίως. Το πολύπλοκο κακόβουλο λογισμικό τους μπορεί να απενεργοποιήσει περισσότερους από 300 οδηγούς εντοπισμού και απόκρισης τελικού σημείου (EDR) από μεγάλους προμηθευτές ασφάλειας.
Εξελιγμένη Αλυσίδα Μόλυνσης
Το Qilin ransomware χρησιμοποιεί μια σύνθετη αλυσίδα μόλυνσης πολλαπλών σταδίων, ξεκινώντας από την παράλληλη φόρτωση κακόβουλων DLL αρχείων μέσω νόμιμων εφαρμογών. Αυτή η τεχνική προσφέρει στους εγκληματίες τον έλεγχο χωρίς να ανιχνεύονται εύκολα και εξελιγμένες μεθόδους απόκρυψης των δράσεών τους.
Η Τεχνική DLL Sideloading
Η διαδικασία της μόλυνσης αρχίζει όταν μια νόμιμη εφαρμογή, όπως το FoxitPDFReader.exe, φορτώνει το κακόβουλο msimg32.dll. Αυτή η τακτική έχει ως στόχο να αποθήσει την υποψία κατά τη διάρκεια της εκτέλεσης:
- Η κακόβουλη DLL προωθεί όλες τις API κλήσεις προς την γνήσια βιβλιοθήκη των Windows, διατηρώντας την ανώδυνη συμπεριφορά της εφαρμογής.
- Στην πραγματικότητα, το DLL περιέχει ένα κρυπτογραφημένο ωφέλιμο φορτίο EDR killer, το οποίο εκτελείται μόνο στη μνήμη και όχι στον δίσκο.
Προχωρημένες Τεχνικές Αντι-Ανίχνευσης
Ο φορτωτής του Qilin εφαρμόζει μια σειρά από τεχνικές αντι-ανίχνευσης που σχεδιάζονται για να παρακάμπτουν τα EDR προϊόντα:
- **Σύμπτυξη Ροής Ελέγχου:** Χρησιμοποιεί SEH/VEH για να αποκρύψει μοτίβα κλήσεων API.
- **Καταστολή ETW:** Αφαιρεί τη δυνατότητα ανίχνευσης των γεγονότων των Windows.
- **Παράκαμψη syscall:** Σαρώνοντας το
ntdll.dll, ο φορτωτής μπορεί να κάνει επιθυμητές κλήσεις συστήματος χωρίς να ανιχνεύεται. - **Χειρισμός Αντικειμένου Πυρήνα:** Αλλάζει τον δείκτη επανάκλησης των εξαιρέσεων για να οδηγήσει την εκτέλεση στη δική του ρουτίνα.
- **Μέτρα κατά του Εντοπισμού Σφαλμάτων:** Το λογισμικό ελέγχει για σημεία διακοπής και τερματίζει τη διαδικασία αν εντοπιστεί κάποιο.
Βασικοί Οδηγοί στην Επίθεση
Με τη διαδικασία να φτάνει στο τελευταίο στάδιο, το EDR killer φορτώνει δύο κακόβουλους οδηγούς πυρήνα, οι οποίοι εκτελούν τη βρώμικη δουλειά:
- **rwdrv.sys:** Ένας μετονομασμένος οδηγός που μπορεί να εκμεταλλευτεί την πρόσβαση χωρίς περιορισμούς.
- **hlpdrv.sys:** Χρησιμοποιείται αποκλειστικά για την απενεργοποίηση προστατευμένων διεργασιών EDR.
Συνέπειες για Οργανισμούς
Η πρόσβαση στους πυρήνες του λειτουργικού συστήματος και η αποδυνάμωση των αμυνών είναι επικίνδυνες στρατηγικές. Οι οργανισμοί θα πρέπει:
- Να παρακολουθούν καθημερινά τη δραστηριότητα φορτώματος DLL.
- Να προβαίνουν σε τακτικές αναλύσεις των εγκατεστημένων οδηγών.
- Να προτείνουν πολιτικές ασφάλειας που περιλαμβάνουν πολυεπίπεδη άμυνα.
Οι επιθέσεις ransomware γίνονται ολοένα και πιο εξελιγμένες. Είναι επιτακτική ανάγκη οι οργανισμοί να ενημερώνουν τις άμυνές τους και να προσαρμόζονται στις συνεχώς εξελισσόμενες απειλές.
Για περισσότερες πληροφορίες σχετικά με τις τελευταίες εξελίξεις στον τομέα της κυβερνοασφάλειας, επισκεφθείτε το Cisco Talos.