Veya Yair of SafeBreach Labs kısa bir süre önce, uç nokta algılama ve yanıt ile antivirüs ürünlerini dönüştürerek yeni nesil siliciler oluşturmak için tehdit aktörleri tarafından istismar edilebilecek çok sayıda Sıfırıncı Gün güvenlik açığı keşfetti.
BlackHat Avrupa siber güvenlik konferansında teknik ekip, EDR ve AV açıklarından yararlanmaya yol açan tespit edilen kusurları sundu.
Araştırmacı, sistemdeki rastgele dosya ve dizinleri silmek ve sonuç olarak makineyi çalışmaz hale getirmek için keşfedilen kusurlardan yararlanmayı başardı.
Yeni Nesil Silecek Aracı
Aikido, SafeBreach Labs’a bağlı Or Yair tarafından geliştirilen wiper aracıdır ve bu wiper’ın amacı rakibi kendi gücünü kullanarak ona karşı yenmektir.
Sonuç olarak, bu silici ayrıcalıklar verilmeden çalıştırılabilir. Ek olarak, sistem dosyaları da dahil olmak üzere bir bilgisayardaki hemen hemen her dosyayı tamamen önyüklenebilir ve kullanılamaz hale getirmek için silebilir.
EDR’ler, aşağıdaki bağlamlara bağlı olarak kötü amaçlı dosyaları iki ana yolla silmekten sorumludur:-
- Tehdit tanımlama zamanı
- Tehdit silme zamanı
Kötü amaçlı bir dosya algılanır algılanmaz ve kullanıcı onu silmeye çalışır çalışmaz, Aikido silici bir fırsat anından yararlanır.
Bu silici, Windows’ta kullanıcıların, bu silici tarafından kötüye kullanılan, kullanıcı hesaplarının ayrıcalıklarından bağımsız olarak bağlantı noktası bağlantıları (sembolik bağlantılar) oluşturmasına izin veren bir özelliği kullanır.
Sistem dosyalarını (.sys) silmek için gerekli izinlere sahip olmayan bir kullanıcı, Yair’e göre bu dosyaları silemez. Bir tuzak dizini oluşturarak, güvenlik ürününü dosyayı silinmesini engellemek yerine silmesi için kandırmayı başardı.
Aynı şekilde, grubun içine silinmek istenen yola benzeyen bir dizi yerleştirdi, örneğin aşağıdaki gibi: –
- C:\temp\Windows\System32\drivers ve C:\Windows\System32\drivers karşılaştırması
Aikido Wiper’ın Nitelikleri
Aşağıda Aikido Wiper’ın tüm genel özelliklerinden bahsetmiştik:-
- Tamamen Tespit Edilemez
- Sistemi Önyüklenemez Hale Getirir
- Önemli Verileri Sil
- Ayrıcalıksız Kullanıcı olarak çalışır
- Karantina Dizinini Siler
Satıcıdan ürün analizi ve yanıtı
Or Yair tarafından test edilen 11 güvenlik ürününden altısının bu açıktan yararlanmaya açık olduğu tespit edildi. Kısacası, bu kategoride test edilen ürünlerin %50’den fazlası savunmasızdır.
Aşağıda savunmasız olanlardan bahsettik: –
- Defans
- Uç Nokta için Defender
- SentinelOne EDR
- TrendMicro Apex One
- Avast Antivirüs
- AVG Antivirüs
Aşağıda savunmasız olmayan ürünlerden bahsetmiştik:-
- Palo Alto
- Cylance
- kitle grevi
- McAfee
- bitdefender
Bu yılın Temmuz ve Ağustos ayları arasında, tüm güvenlik açıkları etkilenen tüm satıcılara bildirildi. Microsoft Defender ve Microsoft Defender for Endpoint ürünleri söz konusu olduğunda, araştırmacı tarafından rastgele bir dosya silme işlemi gerçekleştirilmemiştir.
Güvenlik açıklarıyla başa çıkmak için satıcılardan üçü aşağıdaki CVE’leri yayınladı:-
Bu açıktan yararlanma, yazılım satıcılarından üçü tarafından ele alınması için yazılımlarının güncellenmiş sürümlerini yayınlayarak da ele alındı:-
- Microsoft Kötü Amaçlı Yazılımdan Koruma Motoru: 1.1.19700.2
- TrendMicro Apex One: Düzeltme 23573 ve Patch_b11136
- Avast ve AVG Antivirüs: 22.10
Bu tür bir güvenlik açığı, ürünlerinin gelecekte benzer saldırılara karşı korunmasını sağlamak için tüm EDR ve antivirüs satıcıları tarafından proaktif olarak test edilmelidir.
Araştırmacı, EDR ve AV ürünlerini kullanan kuruluşlar için, güncellemeler ve yamalar için satıcılarına hemen danışmalarını şiddetle tavsiye ediyor.
Güvenli Web Ağ Geçidi – Web Filtresi Kuralları, Etkinlik İzleme ve Kötü Amaçlı Yazılımdan Koruma – Ücretsiz E-Kitap İndirin