Güvenlik araştırmacıları, modül yükleme sırasında çağrı yığınına rastgele modüller eklemek için çağrı aygıtlarından yararlanan ve Elastic EDR’nin imza tabanlı algılama kurallarını başarıyla atlayan yeni bir teknik geliştirdiler.
Elastik EDR Tespit Mantığında Açıklık
Elastic’in algılama mantığını ve yük test araçlarını kamuya açık hale getiren şeffaflık politikası, güvenlik topluluğunun EDR mekanizmalarını daha iyi anlamasını ve sorgulamasını sağladı.
Birçok satıcıdan farklı olarak Elastic, tespit kurallarına açık erişime izin vererek araştırmacıların gerçek dünyadaki kaçınma tekniklerini simüle etmesine ve analiz etmesine olanak tanır.
Elastic EDR’nin algılama motoru, ağırlıklı olarak çağrı yığınlarını kötü amaçlı etkinlik belirtileri açısından analiz etmeye odaklanır.
Desteklenmeyen (yani diskten değil, bellek içi) bellek bölgelerinden başlatılanlar gibi şüpheli modül yüklemeleri, bu davranışların kabuk kodu enjeksiyonu gibi saldırılarla güçlü bir şekilde ilişkili olması nedeniyle yakından izlenmektedir.
Desteklenmeyen bellekten yüklenen ağ modüllerini izleyenler gibi özel kurallar, komuta ve kontrol (C2) implantları tarafından kullanılan standart tekniklerin belirlenmesine yardımcı olur.
Zaman içinde tehdit aktörleri, çağrı yığınlarını manipüle ederek EDR tespitinden kaçınmak için çeşitli yöntemler geliştirdi. Çağrı yığını sahtekarlığı ve API proxy’si gibi teknikler toplulukta ayrıntılı olarak ele alınmıştır.
Ancak Elastic, bu taktikleri hedef alan ek kurallar getirerek yanıt verdi ve genellikle hatalı pozitifleri azaltmak ve performansı sürdürmek için belirli sistem kitaplıklarına odaklandı.
Tipik bir algılama aşağıdaki gibi bir çağrı yığınını arayabilir:
ntdll.dll|kernelbase.dll|Unbackedveya sahte veya proxy çağrıları gösteren imzalar. Bu kurallar, şüpheli bağlamlarda başlatılan kitaplık yüklemelerini yakalamak için tasarlanmıştır.
Yeni yayınlanan araştırma, yenilikçi bir kaçınma tekniği sunuyor: çağrı yığınına rastgele bir modül eklemek için çağrı aygıtlarını kullanmak, böylece Elastic’in tespit kurallarının beklediği modeli kırmak.
Araştırmacı, şu anda EDR imzaları tarafından hedeflenmeyen sistem DLL’lerindeki kontrol edilebilir çağrı talimatlarından (araçlar) yararlanarak, modül yükleme işlemleri sırasında gözlemlenen çağrı yığınını değiştirebilir.
Kavram kanıtlama, dsdmo.dll dosyasının eski bir sürümünde bulunan belirli bir çağrı geri alma aracından yararlanır.
Ağ kitaplığı yüklenirken (wininet.dll gibi) bu araca atlandığında, eklenen modül çağrı yığınında görünür, imzayı bozar ve uyarının tetiklenmesini engeller. Sonuç olarak, önceden tespit edilebilen işlem EDR aracısı tarafından fark edilmez.
Bu yöntem, kabuk kodu gizleme ve geri çağırma tabanlı API proxy’si oluşturma konusundaki önceki araştırmalara dayanmaktadır.
syscall talimat, uyarı tetiklenecektirAncak, yaygın olarak bulunan DLL’lerde gerçek aygıtları bulmaya yönelik pratik bir yaklaşım göstermektedir. Test edilen gadget’ın kullanımdan kaldırılmış bir sürüm olmasına rağmen araştırma, mevcut DLL setlerinde benzer gadget’ları bulma sürecinin ana hatlarını çiziyor.
Bu bulgu yalnızca kabuk kodu tabanlı ağ modülü yüklemesiyle ilgili belirli bir algılama atlamasına yöneliktir.
Elastic’in EDR’si, bir saldırının yaşam döngüsü boyunca kötü amaçlı etkinlikleri tespit etmek için hâlâ birçok ek fırsat sunuyor. Ancak bu teknik, kaçınma ve tespit stratejilerinin sürekli gelişiminin altını çiziyor.
Araştırmacılar, bu kaçırma sorununu gidermek için tespit kurallarını aktif olarak güncelleyen Elastic’e yöntemi sorumlu bir şekilde açıkladılar.
Çalışma, siber savunmaları sürekli olarak güçlendirmek için güvenlik topluluğu içinde sürekli işbirliği ve şeffaflığa olan ihtiyacın altını çiziyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.