Uzmanlarımız yakın zamanda öncelikle kurumsal ağlara odaklanan bir madenci keşfetti. PowerGhost; dosyasız yapısı sayesinde, kurbanlarının çalışma yerlerine veya sunucularına fark edilmeden eklenebiliyor. Şimdiye kadar kaydettiğimiz saldırıların çoğu Hindistan, Türkiye, Brezilya veya Kolombiya’da gerçekleşti.
Bir şirketin altyapısına nüfuz eden PowerGhost, meşru uzaktan yönetim aracı Windows Yönetim Araçları (WMI) ile ağdaki kullanıcı hesaplarına giriş yapmayı deniyor. Kötü amaçlı yazılım, Mimikatz isimli bir veri ayıklama aracını kullanarak girişleri ve parolaları elde ediyor. Bu madenci aynı zamanda WannaCry ve ExPetr yaratıcıları tarafından kullanılan ve Windows’taki güvenlik açığından yararlanan EternalBlue yoluyla da dağıtılabiliyor. Teorik olarak bu güvenlik açığı bir yıl önce düzeltilmişti fakat pratikte, çalışmaya devam ediyor.
Kötü amaçlı yazılım, kurbanların cihazlarını ele geçirdiğinde işletim sisteminde çeşitli güvenlik açıkları yoluyla ayrıcalıklarını artırmaya çalışır (teknik ayrıntılar için Securelist blog gönderisine bakın). Sonrasında madenci, sistemde kendisine yer edinerek sahipleri için kripto para kazanmaya başlar.
PowerGhost neden tehlikelidir?
Diğer madenciler gibi PowerGhost da kripto para oluşturmak için işlemci kaynaklarınızı kullanır. Bu, sunucu ve diğer cihazların performansını azaltmasının yanı sıra yıpranma ve aşınmayı önemli ölçüde hızlandırarak değişim maliyetlerine neden olur.
Yine de benzeri programlarının çoğuyla karşılaştırıldığında, cihaza kötü amaçlı dosyalar indirmediği için PowerGhost’un fark edilmesi çok daha zordur. Bu aynı zamanda sunucu veya çalışma yerinizde fark edilmeden daha uzun süre çalışabileceği ve daha fazla hasara neden olabileceği anlamına gelir.
Dahası, uzmanlarımız, kötü amaçlı yazılımın bir sürümünde DDoS saldırıları için bir araç keşfetti. Şirket sunucularının başka bir kurbanı bombalamak için kullanımı, operasyon faaliyetlerini yavaşlatabilir, hatta felç edebilir. Kötü amaçlı yazılımın ilginç yeteneklerinden biri de, gerçek bir işletim sistemi altında veya koruma alanında çalıştırıldığını kontrol edip standart güvenlik çözümlerini atlatmasıdır.
PowerGhost avcıları
Bulaşmayı önlemek ve ekipmanı PowerGhost veya benzeri kötü amaçlı yazılımların saldırısından korumak için kurumsal ağların güvenliğini dikkatle izlemelisiniz.
- Yazılım ve işletim sistemi güncellemelerini atlamayın. Satıcılar, madencilerin faydalandığı güvenlik açıklarının neredeyse tamamını uzun bir süredir düzeltiyor. Virüs yazıcıları da, ürünleri üzerinde yaptıkları geliştirmelerini, uzun süredir düzeltilmekte olan bu güvenlik açıklarından faydalanarak devam ettiriyor.
- Çalışanların güvenlik farkındalığı ile ilgili bilgi ve becerilerini geliştirin. Siber olayların çoğunun insan faktöründen kaynaklandığını unutmayın.
- Davranış analizi teknolojisi sunan güvenilir güvenlik çözümleri kullanın; ancak bu şekilde dosyasız tehditleri yakalayabilirsiniz. Kaspersky Lab’in kurumsal ürünleri, PowerGhost ve ayrı bileşenlerinin yanı sıra, şu an bilinmeyenler de dahil olmak üzere bir çok diğer kötü amaçlı programı tespit edebilir.