Yeni bir teknik, saldırganların antivirüs işlemlerine doğrudan zararlı kod enjekte ederek antivirüs yazılımından yararlanmasına olanak tanıyor. Bu yaklaşım, tespit edilmekten kaçmalarını ve antivirüs yazılımının sağlamak üzere tasarlandığı güvenlikten ödün vermelerini kolaylaştırır.
Siber güvenlik araştırmacısı Two Seven One Three on X (@TwoSevenOneT) tarafından ayrıntılı olarak açıklanan bu yöntem, standart savunmaları atlayarak antivirüs kurulum klasöründe bir arka kapı oluşturmak için korumalı hizmetlerin klonlanmasını ve kriptografik sağlayıcıların ele geçirilmesini içeriyor.
Bu yaklaşım, antivirüs çözümlerinin kendi kararlılıklarına öncelik verme biçimindeki bir güvenlik açığını vurguluyor. Bu “öldürülemez” süreçlere kod enjekte ederek, sızan testçiler, tespit edilmekten kaçınırken, kısıtlı dizinlere dosya yazmak gibi eylemleri gerçekleştirmek için yükseltilmiş ayrıcalıklar elde ederler.
Antivirüs programları karmaşık tehditlerle mücadele edecek şekilde geliştikçe, bu tür teknikler sağlam güvenlik ile operasyonel güvenilirlik arasındaki hassas dengenin altını çiziyor.
Antivirüs Savunmalarını Aşmak
Antivirüs yazılımı, temel işlemlerini müdahalelerden korumak için birden fazla strateji kullanarak kullanıcılar için kesintisiz koruma sağlar.
Bu programlar genellikle SİSTEM düzeyindeki ayrıcalıklarla çalışır ve onlara sistem genelindeki tehditleri izlemek ve etkisiz hale getirmek için geniş erişim sağlar.
Süreç iç gözlemi, antivirüsün, harici kaynaklardan yetkisiz kod enjeksiyonu gibi anormalliklere karşı kendi iş parçacıklarını dikkatli bir şekilde taramasına olanak tanır.
Diğer koruma önlemleri arasında yüklü modüllerin orijinalliğini doğrulayan kod bütünlüğü kontrolleri ve Windows’un Korumalı İşlem Işığı (PPL) özelliğinin kullanımı yer alır.
Bu, kullanıcı modu işlemlerini izole ederek yöneticilerin bile müdahale etmesini önler. Çekirdekte, antivirüs sürücüleri algılama mekanizmalarındaki değişiklikleri engellemek için sensörler yerleştirirken, kendini koruma rutinleri, tehlikeye atılan bileşenleri otomatik olarak yeniden başlatır veya şüpheli etkinlik konusunda uyarı verir.
Hangi süreçlerin korumaya uygun olduğunu belirlemek de aynı derecede titizlik gerektirir. Geliştiriciler, saldırganların dosya adlarını taklit ederek yanıltabileceği işlem adları gibi basit kontrollerden kaçınır.
Bunun yerine, Bitdefender gibi çözümler, işlemin ImagePath doğrulamasını birleştirerek yürütülebilir dosyanın doğru dizinde bulunmasını sağlar ve kurulum klasörlerine dosya yazma kısıtlamalarını birleştirir.
Yüklenen DLL’lerin dijital imzaları başka bir katman ekler, ancak saldırganlar gelişmiş kaçınma taktikleri yoluyla bunları atlamayı deneyebilir. Çekirdek sürücüleri başlatmayı en baştan izlediğinden, İşlem Ortamı Bloğunu (PEB) değiştirmek veya CreateProcess API tanıtıcılarını kullanmak boşuna olur.
Hizmet Klonlama ve Enjeksiyon Yöntemleri
Tekniğin ustalığı, antivirüsün işletim sistemi özelliklerine güvenmesinden yararlanırken daha az korunan yardımcı bileşenlerden faydalanmasında yatmaktadır.
Modern antivirüs paketleri, güvenlik duvarları, VPN’ler ve kullanıcı arayüzleri gibi ekstraları bir araya getirir; bunların her biri, yükleme klasörü yazma erişimiyle korumalı işlemleri çalıştırır. Bunların doğrudan sonlandırılması veya askıya alınması, çekirdek istismarları veya EDR-Freeze gibi araçlar nedeniyle engellendiğinden, araştırmacılar klonlamaya yöneliyor.
Bitdefender’ın BDProtSrv’si gibi bir antivirüs hizmeti için kayıt defteri anahtarlarını manuel olarak dışa ve içe aktararak, aynı yapılandırmalara sahip yinelenen bir hizmet oluşturulabilir.
Sistemin yeniden başlatılması, bu klonu Services.exe’nin önbelleğine yükleyerek yeni bir korumalı işlem oluşturur. Process Explorer ile test yapmak, sonlandırma girişiminde bulunulduğunda “erişim reddedildi” hataları yoluyla korumayı doğrular.
Ekleme, antivirüs işlemlerinin şifreleme ve imzalama için kullandığı Windows Şifreleme API’sinin ele geçirilmesiyle gerçekleşir. HKLM\SOFTWARE\Microsoft\Cryptography\Defaults\Provider kayıt defteri anahtarının, hizmet başlatma sırasında yüklemeyi tetikleyen kötü amaçlı bir DLL’yi işaret edecek şekilde değiştirilmesi.
İmza kontrollerinden kaçınmak için DLL, SpecterOps araştırmasında ayrıntılı olarak açıklanan bir yöntem olan meşru Windows programlarından klonlanmış sertifikalar kullanılarak imzalanır.
Adımlar arasında klonlanmış hizmetin oluşturulması, sağlayıcının değiştirilmesi, imzaya güvenilmesi, hizmetin başlatılması, yürütmenin doğrulanması ve kararsızlığı önlemek için kayıt defterinin geri yüklenmesi yer alır.
Bu süreci otomatikleştirmek için Two Seven One Three, GitHub’da bulunan açık kaynaklı bir araç olan IAmAntimalware’i geliştirdi. Hizmetleri klonlar, şifreleme sağlayıcılarını veya COM nesnelerini değiştirir, sertifikaları içe aktarır ve orijinal hizmeti, klon adını, sertifika dosyasını ve DLL yolunu belirten komut satırı parametreleriyle çoğaltmayı başlatır.
Bitdefender ile yapılan testlerde araç, imzaları çoğaltan başka bir GitHub yardımcı programı olan CertClone’u kullanarak örnek bir DLL imzaladı. Hata ayıklama dizelerinin çıktısını alan ve kurulum klasörüne bir “mark.txt” dosyası yazan DLL, yürütüldükten sonra başarıyla enjekte edildi.
Trend Micro ve Avast’ta da benzer sonuçlar ortaya çıktı, ancak Avast’ın güvenilirlik açısından GUI sürecini hedeflemek için ince ayarlara ihtiyacı vardı. Bu yöntemin sonuçları çok derin: Kötü amaçlı yazılım, antivirüs ortamlarına arka kapılar yerleştirip fark edilmeden çalışabilir.
Önleme, anormal yollardan gelen modül yüklerinin dikkatle izlenmesini, kayıt defterindeki güvenilir sertifikaların denetlenmesini ve davranış analitiğinin yanı sıra PPL’nin uygulanmasını gerektirir.
Sızma testi geliştikçe, bu tür açıklamalar antivirüs satıcılarını kendi güçlü yönlerinin yükümlülük haline gelmesine karşı güçlendirmeye itiyor.
