Osman KARAN
[email protected]
SOREBRECT, saldırgandan yeni komutları beklemektedir.
6. Sadece lokal makine üzerinde dosyaları şifrelemekle kalmaz ağ paylaşım-
larına da bulaşır. Kullanılan kimlik hesabı yetkiye sahipse şifrelemeler buralarda
da gerçekleşir.
7. SOREBRECT, yaptığı aktiviteleri dosyasız yaparak gizli kalması yetmezmiş
gibi wevtutil.exe ile sistem iz kayıtlarını ve shadow kopyalarını siler.
8. PSEXEC, hem dosyasız hem de kod enjeksiyonunu gerçekleştirmesi ile
atağın başlangıç noktası haline gelmiştir.
İmza Tabansız Uç Nokta Önleyici Sistemler
SOREBRECT’in psexec üzerinden zararlı kod enjeksiyonu sadece bir fidye
zararlı örneği. Günümüzde dosyasız atakların memory veya register üzerinde
çalışması, Powershell üzerinden komut koşturması, makroları kullanması veya
remote shell ile kodları uzaktan çalıştırması geleneksel koruma ve önleme sis-
temlerini çok rahat aşabilmektedir. Çünkü geleneksel AV koruması bilinen za-
rarlıların imzalarına bakarak bir koruma katmanı sağlar. Yani dosyalar ile ilgile-
nir. Yine bir katman olarak ağ katmanında konumlandırılan sandbox sistemleri
bilinmeyen zararlılar için dinamik ve statik analize yoğunlaştığından dosyasız
10