Kullanıcı Hesabı Denetimi (UAC), kötü amaçlı yazılımların kullanıcının bilgisi dışında çalıştırılmasını önlemek için Microsoft tarafından sunulan güvenlik önlemlerinden biridir. Ancak modern kötü amaçlı yazılımlar, bu engeli aşmanın ve ana cihazda sessiz dağıtım sağlamanın etkili yollarını bulmuştur. Yüklenen kötü amaçlı yazılım örneklerinde yaygın olarak bulunan üç yöntem şunlardır: ANY.RUN’un halka açık gönderim veritabanı.
Kullanıcı Hesabı Kontrolü Nedir?
Kullanıcı Hesabı Denetimi (UAC), yönetim düzeyinde erişim gerektiren belirli görevleri gerçekleştirmeden önce kullanıcıdan izin isteyerek çalışır. Bu sayede kullanıcı, yönetici hesabıyla oturum açsa bile, gerçekleştirmek üzere olduğu görevin olası riskleri konusunda bilgilendirilir. Bilgi istemi genellikle gerçekleştirilecek eylemi açıklayan bir mesajı, erişim isteyen programın veya kullanıcının adını ve eyleme izin verme veya eylemi iptal etme seçeneklerini içerir.
Kötü Amaçlı Yazılım UAC’den Nasıl Kaçar?
COM Arayüzü Kullanımı
Bileşen Nesne Modeli (COM), yazılım bileşenleri için ikili bir arayüz standardıdır ve birçok özelliği bunun üzerine inşa edildiğinden Windows işletim sistemlerinin temel bir parçasıdır. COM, uygulamaların birbirleriyle ve işletim sistemiyle iletişim kurması için tutarlı bir yol sağlar.
Kötü amaçlı yazılımlar, Windows kayıt defterindeki “Yükseklik – Etkinleştirme – 1” girişine sahip belirli nesnelerden yararlanarak COM’dan yararlanabilir. Bu giriş, nesnenin UAC istemini atlayarak yönetici ayrıcalıklarıyla çalışmasına olanak tanır. Bu, kötü amaçlı yazılımların normalde kullanıcının açık iznini gerektirecek eylemleri gerçekleştirmesine olanak tanıdığından ciddi bir güvenlik açığı olabilir.
Güvenlik açığı bulunan COM nesnelerinden bazıları şunlardır:
- cmstplua.dll
- colorui.dll
- wscui.cpl
Örnek:
Sayesinde Tehdit İstihbaratı Araması, UAC’yi atlatan kötü amaçlı yazılım örneklerini kolayca bulabiliriz. Cmstplua.dll kullanarak tehditleri tespit edelim.
Bunu yapmak için cmstplua.dll ile ilgili işlemin kimliğini içeren aşağıdaki sorguyu göndermemiz yeterlidir.
Elde etmek ANY.RUN’un özel teklifleri 31 Mayıs’a kadar6 ay boyunca ücretsiz hizmet veya ekip üyeleri için ekstra lisans alabilirsiniz. Daha fazla bilgi edinin ve ücretsiz kaydolun.
Hizmet, başlatılan yüz farklı kötü amaçlı yazılım analizi oturumuyla yanıt veriyor ANY.RUN sanal alanıher biri sorgumuzda belirttiğimiz öğeden bahsediyor.
Bu oturumlardan herhangi birine tıklayarak bunları derinlemesine inceleyebiliriz.
Örneğin, burada UAC’yi atlatmak için cmstplua.dll’yi kullanan Formbook kötü amaçlı yazılımının bir örneğini içeren bir oturum var.
Korumalı alan oturumunu açtıktan sonra, kötü amaçlı yazılım tarafından kullanılan Taktikler, Teknikler ve Prosedürler (TTP’ler) ve güvenlik ihlali göstergeleri gibi saldırının ek ayrıntılarını keşfedebiliriz.
Kayıt Değişikliği
UAC’yi atlamanın başka bir yöntemi, Windows kayıt defterinin ms-settings anahtarlarını değiştirmeye dayanır. Windows’taki bazı programlar varsayılan olarak yükseltilmiş ayrıcalıklarla çalışır. Bunlardan biri, yürütülürken ilk başta var olmayan bir kayıt defteri girişine erişmeye çalışan fodhelper’dır. HKCU\Classes\ms-settings\shell\open\commandbir sonrakine geçmeden önce, HKCR\kabuk\açık\komut bu var.
Saldırganlar, yönetici ayrıcalıkları gerektirmeyen ilk kayıt defteri girdisini oluşturup değiştirerek bundan yararlanabilirler. Böylece, kayıt defterini ele geçirebilir ve kötü amaçlı yazılımın, kullanıcıya bir UAC istemi gösterilmeden başlatılmasını sağlayabilirler.
Örnek:
Aşağıda, UAC isteminin gösterilmesini engellemek için bu yöntemi kullanan BlankGrabber kötü amaçlı yazılımının sanal alan analiz oturumu yer almaktadır.
Sonsuz UAC İstemi Döngüsü
Bu yöntemde, kullanıcıya her kapatma girişiminde UAC istemi bir kez daha gösterilir. Buradaki amaç potansiyel kurbanı pencereyi kaldırmak için uygulamayı çalıştırmayı kabul etmeye zorlamaktır. Ancak anlaşmaya vardıkları anda kötü amaçlı yazılım sistemlerinde çalışmaya başlıyor.
Örnek:
Sistemde kendine yer edinmek için istem döngüsüne dayanan Dcrat kötü amaçlı yazılımını içeren bu analiz oturumuna göz atın.