Araştırmacılar, Windows 8’de ilk kez tanıtılan Windows SmartScreen sisteminde ve kötü amaçlı veya güvenilmeyen uygulamaları engelleyerek yeni ve ortaya çıkan tehditlere karşı önemli koruma sağlamak üzere tasarlanan SmartScreen’in geliştirilmiş hali olan Smart App Control’de (SAC) ek zayıflıklar keşfettiler.
Bu yeni teknikler, saldırganların uyarı veya açılır pencereleri tetiklemeden işletim sistemi düzeyindeki güvenlik önlemlerini aşmalarına olanak tanıyabilir.
Windows Akıllı Uygulama Denetimi ve SmartScreen
Etkinleştirildiğinde, SAC Defender SmartScreen’i değiştirir ve devre dışı bırakır. Microsoft ayrıca SmartScreen ve SAC için dosyaların güven düzeyini sorgulamak için belgelenmemiş API’leri açığa çıkarır ve araştırmacıların bir dosyanın güvenini görüntüleyen yardımcı programlar geliştirmesine olanak tanır.
Elastic Labs araştırmacıları, her iki sistemi de atlatıp cihazlara daha fazla erişim sağlamak için itibar tabanlı ve LNK (kısayol) dosya tabanlı teknikleri inceledi.
SmartScreen’i Atlatmak İçin İtibar Sistemlerini Kullanma
SAC’yi atlatmanın bir yolu, kötü amaçlı yazılımları meşru kod imzalama sertifikalarıyla imzalamayı içerir. Saldırganlar, işletmeleri taklit ederek kimlik doğrulaması gerektiren Genişletilmiş Doğrulama sertifikalarını giderek daha fazla elde ediyor. Örneğin SolarMarker tehdit grubu, kampanyalarında 100’den fazla benzersiz imzalama sertifikası kullandı.
İtibar ele geçirme olarak bilinen bir diğer taktik, güvenlik kontrollerini atlatmak için güvenilir uygulamaları yeniden kullanmayı içerir. Lua ve Node.js yorumlayıcıları gibi yabancı işlev arayüzlerine sahip betik ana bilgisayarları bu yaklaşıma karşı özellikle savunmasızdır. Saldırganlar, uyarıları tetiklemeden kötü amaçlı kod yüklemek ve yürütmek için bu güvenilir uygulamaları kullanabilir.
İtibar ele geçirmeyi tespit etmek zor olabilir, çünkü tekniği uygulamak için sayısız uygulama kullanılabilir. Ancak güvenlik ekipleri, kötüye kullanılan yazılımların genel kategorilerini belirlemek için davranışsal imzalar geliştirebilir.
Örneğin, bu ekipler şüpheli çağrı yığınlarında yaygın Lua veya Node.js fonksiyon adlarını veya modüllerini arayabilir veya daha yakından incelemek için ortamlarındaki aykırı değerleri belirlemek amacıyla yerel itibarı kullanabilir.
LNK Dosyası Güvenlik Açığı ve Algılama Stratejileri
Önemli bir keşif, Windows’un LNK (kısayol) dosyalarını işlemesindeki bir hatayı içeriyor. Standart dışı hedef yollarına sahip LNK dosyaları oluşturarak saldırganlar, Mark of the Web (MotW) kontrollerini atlatabilir ve SmartScreen ve SAC korumalarını etkili bir şekilde atlatabilir. En az altı yıldır var olan bu güvenlik açığı, güvenlik uyarıları olmadan keyfi kod yürütülmesine olanak tanır.
Bu tehditlere karşı koymak için güvenlik ekipleri çok katmanlı tespit stratejileri uygulamalıdır. Bu, bilinen kötüye kullanılan uygulamaları kataloglamayı ve engellemeyi, şüpheli etkinlikleri belirlemek için davranışsal imzalar geliştirmeyi ve indirilen dosyaları yakından izlemeyi içerir.
Örneğin, ekipler çağrı yığınlarındaki ele geçirilmiş betik ana bilgisayarlarıyla ilişkili ortak işlev adlarını veya modülleri tespit etmek için kurallar oluşturabilir. Ek olarak, yerel itibar sistemlerine odaklanmak, daha yakından incelemeyi gerektiren ortamdaki aykırı değerleri belirlemeye yardımcı olabilir.
SmartScreen’in, güvenlik uyarısı olmadan ve minimum kullanıcı etkileşimiyle ilk erişime izin verebilecek bir dizi temel tasarım zayıflığı vardır. Güvenlik ekipleri, tespit yığınlarındaki indirmeleri dikkatlice incelemeli ve bu alanda koruma için yalnızca işletim sistemine özgü güvenlik özelliklerine güvenmemelidir.
Araştırmacılar, gerçek senaryolarda itibar ele geçirmeye dayalı teknikleri belirlemede yararlı olan davranışların bellek içi kaçınma, kalıcılık, kimlik bilgilerine erişim, sayım ve yanal hareketle ilgili olduğunu belirtiyorlar.