Genel Bakış
Gentlemen fidye yazılımı, operasyonel kapasitesini artırmak amacıyla SystemBC proxy kötü amaçlı yazılımını kullanmaya başlamıştır. Bu entegrasyon, saldırganların ele geçirilen kurumsal ağlar üzerinde daha kalıcı ve gizli bir varlık sürdürmesine olanak tanımaktadır. 1.570'den fazla aktif ana bilgisayarı içeren bu botnet yapısı, saldırganlara trafik yönlendirme ve komuta kontrol (C2) iletişimi için güçlü bir altyapı sağlamaktadır.
Tehdit Analizi
SystemBC, temel olarak SOCKS5 proxy işlevi gören bir arka kapı (backdoor) yazılımıdır. Gentlemen grubu, bu aracı kullanarak fidye yazılımı dağıtımını otomatize etmekte ve güvenlik duvarı kurallarını aşarak ağ trafiğini maskelemektedir.
Tespit ve Müdahale Adımları
- Ağ Trafiği İzleme: Şüpheli SOCKS5 trafiğini tespit etmek için ağ geçidi günlüklerini inceleyin.
- İşlem Analizi: Beklenmedik arka plan işlemlerini ve şüpheli DLL enjeksiyonlarını tarayın.
- Karantina: Enfekte olmuş uç noktaları ağdan izole edin.
İnceleme Komutları
Ağdaki şüpheli bağlantıları listelemek için aşağıdaki komutları kullanabilirsiniz:
netstat -ano | findstr :1080
Get-Process | Where-Object {$_.Modules -match 'systembc'}
Uyarı: SystemBC, trafik şifreleme kullandığı için standart IDS/IPS sistemleri tarafından gözden kaçırılabilir. SSL/TLS denetimi (inspection) mutlaka aktif edilmelidir.
Savunma Stratejileri
Kurumsal ağınızı korumak için EDR çözümlerini güncel tutun ve şüpheli PowerShell yürütmelerini engelleyin. SystemBC'nin kullandığı C2 sunucularıyla iletişimi kesmek için DNS filtreleme servislerini yapılandırın.
