Araştırmacılar, tehdit aktörlerinin yıllardır kullandığı MotW baypas tekniğini ortaya çıkardı


Tehdit aktörleri, Windows’un standart dışı hedef yolları ve dahili yapıları olan LNK dosyalarını işleme biçimindeki bir hatayı kötüye kullanarak, kötü amaçlı yükleri durduran yerleşik korumaların önüne geçiyor ve kullanıcıları bunları çalıştırmaya kandırıyor.

Elastic Security Labs araştırmacıları, “VirusTotal’da hatayı gösteren ve vahşi kullanımda var olduğunu gösteren birden fazla örnek tespit ettik. Tespit edilen en eski örnek 6 yıldan uzun bir süre önce gönderilmişti” dedi.

Windows’un yerleşik korumaları

Saldırganlar, SmartScreen ve Smart App Control (SAC) dahil olmak üzere Microsoft’un savunmalarını aşmanın yeni yollarını sürekli olarak buluyor.

SmartScreen, Windows kullanıcılarını internetten veya kısıtlı sitelerden indirilen potansiyel olarak kötü amaçlı web sayfaları ve dosyalara karşı korumayı amaçlayan eski bir güvenlik özelliğidir.

Birincisi, bildirilen kimlik avı siteleri ve kötü amaçlı yazılım sitelerinin dinamik bir listesine göre kontrol edilirken, ikincisi varsayılan olarak Mark of the Web (MotW) meta verilerine sahiptir ve SmartScreen bunları iyi bilinen yürütülebilir dosyaların izin listesine göre kontrol eder. Dosya listelenmemişse, SmartScreen dosyanın yürütülmesini engeller ve bir uyarı gösterir. Kullanıcılar, kurumsal yöneticiler bunu yapmalarını önlemek için bir politika ayarlamamışsa uyarıları geçersiz kılabilir ve devam edebilir.

Microsoft (Defender) SmartScreen, MOTW ile işaretlenen dosyaları izin listesine göre kontrol eder. Dosya listelenmemişse, SmartScreen kullanıcıyı dosyanın bilinmediği konusunda uyarır ve kullanıcı çalıştırmakta ısrar etmediği sürece yürütülmesini engeller.

Benzer şekilde, daha yeni Akıllı Uygulama Denetimi (SAC), kullanıcıların çalıştırmak istediği uygulamaları bilinen güvenli uygulamalar listesine göre kontrol ediyor.[SAC] uygulamalar yürütülürken bir Microsoft bulut hizmetine sorgu göndererek çalışır. Güvenli oldukları biliniyorsa yürütülmelerine izin verilir; ancak bilinmiyorlarsa yalnızca geçerli bir kod imzalama imzasına sahiplerse yürütülürler. Araştırmacılar, SAC etkinleştirildiğinde Defender SmartScreen’i değiştirir ve devre dışı bırakır” açıklamasını yaptı.

LNK stomping = Basit MotW baypası

Saldırganlar, kötü amaçlı yazılımları geçerli kod imzalama sertifikalarıyla imzalayarak, iyi bir üne sahip uygulamaları yeniden kullanarak veya ikili dosyaları zararsız gibi göstererek bilinen güvenli uygulama listesine eklenmelerini sağlayacak yollar bularak bu korumaları aşıyorlar.

Araştırmacıların “LNK ezme” adını verdiği bu son teknik, saldırganların LNK (yani Windows kısayolu) dosyalarını standart dışı hedef yollarına veya dahili yapılara sahip olacak şekilde tasarlayarak Mark-of-the-Web (MOTW) kontrollerini aşmalarına olanak tanıyor.

Böyle bir dosya Windows’u yolu/yapıyı kanonikleştirmeye/”düzeltmeye” zorlar, böylece dosyayı “yeniden yazar” ve MotW meta verilerini kaldırır. Bu olmadan, SmartScreen ve SAC dosyayı güvenli kabul eder ve uyarı vermeden çalıştırır.

“Bu sorunun en kolay gösterimi, hedef yürütülebilir yola bir nokta veya boşluk eklemektir (örneğin, powershell.exe.). Alternatif olarak, aşağıdaki gibi bir bağıl yol içeren bir LNK dosyası oluşturulabilir: .\target.exe,” diye açıkladılar. “Bir diğer varyant da LNK’nın hedef yol dizisinin tek bir girişinde çok seviyeli bir yol oluşturmayı içeriyor.”

Araştırmacılar, hatanın ayrıntılarını Microsoft Güvenlik Yanıt Merkezi’ne bildirdiler ve görünüşe göre hatanın gelecekteki bir Windows güncellemesinde düzeltilebileceği söylendi.

Bu arada, güvenlik ekiplerini “tespit yığınlarındaki indirmeleri dikkatlice incelemeye ve bu alanda koruma için yalnızca işletim sistemine özgü güvenlik özelliklerine güvenmemeye” çağırıyorlar.




Source link