Killer Ultra adı verilen zararlı yazılım, Symantec, Microsoft ve Sentinel One tarafından geliştirilen son nokta tespit ve tepki (EDR) araçlarını hedef alarak siber güvenlik alanında dikkat çekiyor. Bu zararlı yazılım, Windows olay günlüklerini toplamakta, tamamen silmekte ve çekirdek seviyesinde izinler elde etmekte. ARC Labs tarafından yapılan sınıflandırmaya göre, Killer Ultra, Zemana sürücüsünü kullanarak EDR ve antivirüs süreçlerini sonlandırabiliyor. Ancak bu özelliklerin savunmaları zayıflatmanın ötesinde amaçlar için kullanılabileceğine dair işaretler de bulunuyor.
Zafiyetin Kötüye Kullanılması
Zemana AntiLogger’ın eski bir sürümünü kullanan Killer Ultra, CVE-2024-1853 olarak tanımlanan zafiyeti kullanarak keyfi süreç sonlandırma yeteneği kazanıyor. Bu zafiyet, antivirüs veya EDR yazılımları gibi kritik güvenlik süreçlerini sonlandırabilme imkanı tanıyor. “SpyBoy” takma adlı bir tehdit aktörü, bu zafiyeti Mayıs 2023’te “EDR öldürücü” olarak tanıtılan “Terminator” adlı bir araca ekledi. Terminator, güvenlik çözümlerini devre dışı bırakmak için güvensiz Zemana AntiLogger sürücüsünü kullanıyor.
Killer Ultra Malware’in Teknik Yetenekleri
Killer Ultra, çekirdek seviyesinde izinlerle çalışarak EDR araçlarını etkisiz hale getirme yeteneğiyle yüksek bir sofistikasyon seviyesine sahip. Malware, süreç sonlandırma, olay günlüklerini silme, sürücüleri kötüye kullanma, kalıcılık mekanizmaları, kompromis göstergelerini kaldırma ve ilk bulaştıktan sonra daha fazla sömürü için yetenekler içeriyor. Bu yetenekler, malware’in geleneksel güvenlik önlemlerini atlatmasına yardımcı oluyor.
Killer Ultra, güvenlik ürünlerini belirli bir liste üzerinden devre dışı bırakıyor ve sistem yeniden başlatıldığında güvenlik programlarının tekrar çalışmasını engellemek için iki zamanlanmış görev oluşturuyor. Bu görevler, sistem başlangıcında Killer Ultra’nın çalıştırılmasını sağlıyor. Ayrıca, Killer Ultra’nın Windows Olay Günlüklerini silmek için “wevtutil.exe” aracını kullanarak kompromis belirtilerini ortadan kaldırma amacı taşıdığı belirtiliyor.
Killer Ultra’nın bu özellikleri, organizasyonların özelliklerini anlamalarına ve algılama ile tepki planlarını yönlendirmek için taktiksel tehdit istihbaratı sağlamalarına yardımcı olabilir. Araştırmacılar, bu yeteneklerin gelecekteki sürümlerde aktif hale getirilebileceği konusunda uyarıyorlar.
- Killer Ultra, EDR araçlarını hedef alarak güvenlik yazılımlarını devre dışı bırakıyor.
- Malware, güvenlik izlerini silmek için Windows olay günlüklerini temizliyor.
- Gelecekteki sürümlerde daha fazla zararlı işlevsellik içerebilir.
