Son zamanlarda tekrar hortlamaya başlayan Conti Fidye yazılımının davranışlarını kendi sistemlerinizde bulmak isterseniz eğer Contayı yakmadan, sıyırmadan önce önlemlerinizi alabilirsiniz.
Conti’nin benzer fidye yazılımlarında olduğu gibi volume shadow silme işlemleri, Network Servis taramaları yaptığını, Credential Dump gibi girişimleri olduğunu biliyoruz. Bu işlemleri yaparken bir ayak izi bırakıyor, bu ayak izlerinin peşinden nasıl gideriz, nasıl buluruz inceleyelim.
Bu postu hazırlarken aklım o kadar conta’ya kaydı ki, Conta yakmış arabayı nasıl anlarsınız videosu izlemeye başladım. Sizde izlemek isterseniz, conta neden yanar, neden pahalıdır videoda var. Linki en aşağıya bırakıyorum.
- Delete Volume Shadow
type_id:8001 AND operation:1 AND process.cmd_line:"vssadmin delete shadows"
2. Network Service Scan
type_id:8001 AND operation:1 AND process.file.name:netscan.exe AND process.cmd_line:"/hide /auto:"result.xml" /config:netscan.xml /range:"
3.OS Crendial Dumping
Burada en sık kullandığı yöntemlerden 2 -3 tanesini arayacağız;
A) Active Directory – NTDSUtil ve SystemFile dump
type_id:8001 AND operation:1 AND process.file.name:ntdsutil.exe AND process.cmd_line:"\"ac i ntds\" \"ifm\" \"create full"
B) Active Directory – NTDSAudit credential dump
type_id:8001 AND operation:1 AND process.file.name:ntdsaudit.exe AND process.cmd_line:"ntds.dit -s system -p pwddump.txt -u users.csv"
C) LSASS – comsvcs.dll
type_id:8001 AND operation:1 AND process.file.name:rundll32.exe AND process.cmd_line:"C:\windows\system32\comsvcs.dll, minidump"
4. Remote Access
A) RDP Server Listing
type_id:8001 AND operation:1 AND process.file.name:ngrok.exe AND process.cmd_line:"tcp 3389"
B) AnyDesk Install/kurulum
type_id:8001 AND operation:1 AND process.file.name:anydesk.exe AND process.cmd_line:"--install c:\programdata\anydesk --start-with-win --silent"
C) Atera Intall/kurulum
type_id:8001 AND operation:1 AND process.file.name:msiexec.exe AND process.cmd_line:"/i setup.msi /qn IntegratorLogin="
5) Remote System Discovery
Active Directory den AdFind uyguluması üzerinden veri toplama ve csv export alma. Aşağıdaki taramada Adfind.exe’nin hangi paremetlerle çalıştırıldığını dair bir tarama yapabilirsiniz.
type_id:8001 AND operation:1 AND process.file.name:adfind.exe AND process.cmd_line:"-f objectcategory=computer -csv name cn operatingsystem dnshostname"
6) Servise Stop/Termination işlevleri
Zararlının çalışmadan önce Acronis, Veeam ve bir çok servisi durdurma girişiminin olduğunu biliyoruz. Aşağıdaki tarama işleminde Net.exe ve Net1.exe ile durdurma girişimi yapılmış servisleri listeleyebilirsiniz.
type_id:8001 AND operation:1 AND process.file.name:[net.exe OR net1.exe] AND process.cmd_line:["stop \"acronis" OR "stop \"enterprise client service\"" OR "stop \"sql" OR "stop \"veeam" OR "stop \"zoolz" OR "stop acronis" OR "stop acrsch" OR "stop antivirus" OR "stop arsm" OR "stop avp" OR "stop backup" OR "stop bedbg" OR "stop dcagent" OR "stop ehttp" OR "stop ekm" OR "stop epsecurityservice" OR "stop epupdateservice" OR "stop erasersvc" OR "stop esgshkernel" OR "stop eshasrv" OR "stop fa_scheduler" OR "stop iisadmin" OR "stop imap" OR "stop kinagent" OR "stop mcshield" OR "stop mctaskmanager" OR "stop mfefire" OR "stop mfemms" OR "stop mfevtp" OR "stop mms" OR "stop mozyprobackup" OR "stop msdtsserver" OR "stop msexchange" OR "stop msftesql" OR "stop msolap" OR "stop mssql" OR "stop mysql" OR "stop netmsmqactivator" OR "stop ntrtscan" OR "stop oracle" OR "stop pdvfsservice" OR "stop pop3" OR "stop reportserver" OR "stop resvc" OR "stop sacsvr" OR "stop samss" OR "stop sav" OR "stop sdrsvc" OR "stop sepmasterservice" OR "stop shmonitor" OR "stop smcinst" OR "stop smcservice" OR "stop smtp" OR "stop sql" OR "stop swi_update" OR "stop veeam" OR "stop w3svc" OR "stop wbengine" OR "stop wrsvc"]
Conti’nin bizi nasıl yakacağını yukarda gördük, Arabanın nasıl conta yakacağı ise burada;