Güvenlik araştırmacıları, güvenlik aracının davranış analizini atlamak için “çağrı aygıtları” içeren bir teknikten yararlanarak Elastic EDR’nin çağrı yığını imza tespitinden başarılı bir şekilde kaçındı.
Almond araştırması, Elastic’in güvenlik konusundaki şeffaf yaklaşımını temel alıyor; şirket, tespit mantığını kamuya açık olarak paylaşıyor ve araştırmacıların kendi korumalarını test etmelerine olanak tanıyor.
Elastic EDR, kötü niyetli davranışları tanımlamak, özellikle de hassas işlemlerin dosya sistemindeki yürütülebilir dosyalardan ziyade çalışma zamanında yüklenen yedeklenmemiş bellek kodundan kaynaklandığını tespit etmek için büyük ölçüde çağrı yığını analizine dayanır.
Elastic’in Çağrı Yığını ve Çağrı Araçlarının Çalışmasını Anlamak
Bu model genellikle kabuk kodunun yürütülmesini gösterir. Ağ modüllerinin yüklenmesi gibi işlemler şüpheli bellek konumlarından gerçekleştiğinde, Elastic’in algılama kuralları belirli çağrı yığını imzalarına dayalı uyarıları tetikler.
Almond araştırmacıları, beklenen sistem kitaplıkları arasına çağrı yığınına ek bir modül ekleyerek algılamayı atlayabileceklerini keşfettiler.
Elastic’in algılama kuralları, ağ modülleri yüklendiğinde “ntdll.dll|kernelbase.dll|ntdll.dll|kernel32.dll|ntdll.dll” imzası gibi belirli çağrı yığını modellerini arar.
Araştırmacılar, çağrı aygıtı manipülasyonu yoluyla bu imzayı kırarak tespit edilmekten başarıyla kurtuldu.
Teknik, Elastic’in belirli algılama kuralları tarafından izlenmeyen meşru Windows DLL’leri içindeki kontrol edilebilir çağrı talimatlarını bulmayı içerir.
Araştırmacılar, System32 DLL’lerini analiz ederek uygun gadget’ları belirlediler ve bir kayda çağrı talimatı ve ardından bir dönüş talimatı içeren dizileri aradılar.
dsdmo.dll dosyasında “r10 çağrısını” çalıştıran, ardından yığın temizleme ve geri dönüş gerçekleştiren kararlı bir aygıt keşfettiler.
Hedef işlevi doğrudan çağırmak yerine bu araca atladığınızda, dsdmo.dll, ntdll ile kernelbase arasındaki çağrı yığınında görünür ve yasal yürütme akışını sürdürürken algılama imzasını etkili bir şekilde bozar.
Araştırmacılar bulgularını yayınlamadan önce Elastic’e bilgi verdi. Elastic, tekniği kabul etti ve bu kaçınma yöntemini ele almak için güncellenmiş tespit kuralları geliştiriyor.
Kavram kanıtlama kodunun tamamı GitHub’da yayınlandı ve bağımsız araştırmacılar ile EDR satıcıları arasında devam eden güvenlik araştırması işbirliğini ortaya koydu.
Bu teknik belirli bir tespit kuralını atlarken, Elastic EDR bir implantın uygulama yaşam döngüsü boyunca birden fazla tespit katmanını korur.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
