blacksanta denen edr katili hr departmanlarını vuruyor
arkadaşlar, yeni bir tehdit var ortada ve bu sefer hedef hr departmanları. bir yıldan fazla süredir rus dilli bir saldırgan grubu, “blacksanta” adını verdikleri bir edr katili (edr killer) yazılımla saldırılar düzenliyor.
spoiler: bu yazılım, sistemlerde kurulu güvenlik çözümlerini (edr/antivirus) devre dışı bırakıyor, yani savunmasız kalıyorsunuz.
ne oluyor yani?
şöyle ki, saldırganlar önce hr departmanlarına hedefli phishing mailleri gönderiyor. içinde iş başvurusu, cv, özgeçmiş gibi görünen dosyalar var ama aslında bunlar blacksanta malware’ini sisteme bulaştırıyor.
blacksanta’nın yaptığı iş basit ama etkili: sistemdeki edr çözümlerini (crowdstrike, microsoft defender, sentinelone gibi) öldürüyor. buna “bring your own vulnerable driver” (byovd) saldırısı diyorlar. yani saldırgan, imzalı ama zafiyetli bir driver’ı sisteme yüklüyor ve bu driver üzerinden kernel seviyesinde edr süreçlerini sonlandırıyor.
teknik detaylar
blacksanta şu şekilde çalışıyor:
- ilk bulaşma: phishing maili ile hr çalışanına ulaşıyor
- driver yükleme: zafiyetli ama microsoft imzalı bir driver sisteme kuruluyor
- edr katliamı: driver üzerinden kernel modunda edr süreçleri sonlandırılıyor
- asıl yük: edr’ler devre dışı kalınca ransomware, stealer veya başka malware’ler devreye giriyor
desteklediği edr listesi fena değil:
- crowdstrike falcon
- microsoft defender
- sentinelone
- palo alto cortex xdr
- sophos
- trend micro
- eset
- kaspersky
- bitdefender
yani neredeyse tüm büyük oyuncuları bypass ediyor.
etkilenen sistemler
| Sistem | Durum |
|---|---|
| Windows sistemleri | ✅ Etkileniyor |
| HR departmanları | ✅ Birincil hedef |
| EDR çözümleri | ✅ Bypass ediliyor |
| Linux/macOS | ❌ Şu an hedefte değil |
ne yapmalısınız agalar
1. hr departmanını uyarın
# hr ekibine acil güvenlik eğitimi verin
# şüpheli cv/özgeçmiş eklerini açmamalarını söyleyin
# özellikle .exe, .scr, .zip içinde .exe olan dosyalara dikkat
2. edr loglarını kontrol edin
# windows event log'larında şüpheli driver yüklemelerini arayın
Get-WinEvent -FilterHashtable @{LogName='System'; ID=7045} | Where-Object {$_.Message -like "*driver*"}
# edr servislerinin beklenmedik şekilde durduğunu kontrol edin
Get-Service | Where-Object {$_.DisplayName -like "*Defender*" -or $_.DisplayName -like "*Crowdstrike*"}
3. driver imza politikalarını sıkılaştırın
# vulnerable driver blocklist'i güncelleyin
# microsoft'un recommended driver block rules'unu uygulayın
4. email gateway’de filtreleme yapın
- hr’a gelen tüm ekleri sandbox’tan geçirin
- makro içeren office dosyalarını bloklayın
- çift uzantılı dosyaları (.pdf.exe gibi) engelleyin
geçici çözümler
eğer hemen aksiyon alamıyorsanız:
- application whitelisting devreye alın (applocker, windows defender application control)
- edr tamper protection özelliklerini aktif edin
- kernel-mode driver yüklemelerini loglamaya başlayın
- hr departmanı için ayrı network segmenti oluşturun, kritik sistemlerden izole edin
edit: bu saldırı kampanyası bir yıldan fazla süredir devam ediyor, yani saldırganlar deneyimli ve kararlı. hafife almayın.
ioc’ler (indicator of compromise)
şüpheli driver isimleri:
prokiller64.sysreddriver.sysgmer.sys(meşru araç ama kötüye kullanılabiliyor)
bu dosyaları görürseniz alarm zillerini çalın.
kaynaklar
dikkat: bu tür byovd saldırıları giderek yaygınlaşıyor. sadece edr’ye güvenmek yetmiyor, katmanlı güvenlik (defense in depth) şart.
önemli: hr departmanınızı bugün eğitin, yarın geç olabilir. bu ekip her zaman en zayıf halka oluyor çünkü sürekli dışarıdan mail ve dosya alıyorlar.
hadi bakalım agalar, işe koyulun. önce hr’ı uyarın, sonra logları kontrol edin, ardından edr ayarlarınızı gözden geçirin.
Bu içerik yapay zeka tarafından oluşturulmuştur.