Saldırganların doğrudan bellekte kötü amaçlı kod yürütmesini sağlayan sofistike bir teknik, modern uç nokta tespiti ve yanıt (EDR) çözümlerine önemli bir zorluk oluşturmaktır.
Bellek içi taşınabilir bir yürütülebilir (PE) yükleyici içeren bu yöntem, bir tehdit aktörünün zaten güvenilir bir işlem içinde bir yürütülebilir dosyayı çalıştırmasını sağlar ve öncelikle diske yazılan dosyaları izleyen güvenlik kontrollerini etkili bir şekilde atlar.
G3TSYST3M takma adına sahip bir kullanıcıya göre, teknik bazı güvenlik duruşlarında kritik bir kör noktayı vurgular ve ilk erişim elde edildikten sonra ikincil yüklerin gizlice dağıtılmasına izin verir.
Bu “evsiz” saldırı vektörü özellikle tehlikelidir, çünkü radar altında çalışır. Bir EDR çözümü, çalıştırılması güvenli olduğunu düşünen bir başlangıç uygulamasını doğrulayabilir ve onaylayabilir.
Bununla birlikte, bu güvenilir süreç etkin olduğunda, tamamen kendi bellek alanı içinde uzaktan erişim Truva atı veya Info-stealer gibi başka bir PE dosyasını indirmek ve yürütmek manipüle edilebilir.
Kötü niyetli yürütülebilir dosyalar asla dosya sistemine dokunmadığından, dosya tarama ve disk tabanlı sezgisel yöntemlere dayanan geleneksel antivirüs ve EDR araçları tehdidi algılayamayabilir.
Bellek içi PE yükleyici kaldıraçlı
Saldırı, GitHub deposu gibi uzak bir kaynaktan bir PE dosyasını indirmek için meşru süreçten yararlanarak başlar.
Standart Windows API’lerini kullanmak gibi InternetOpenUrlA Ve InternetReadFilekod yürütülebilir dosyayı getirir ve bir bellek arabelleğinde saklar.
Bu ilk adım genellikle hassas ağ etkinliği ile karıştırılır ve yükün alarm oluşturmadan hedef sisteme kaçırılmasına izin verir. PE dosyası bir bayt dizisi olarak bellekte bulunduğunda, yükleyici onu yürütme için titizlikle yeniden yapılandırır.
Bu yeniden yapılanma işlemi, Windows işletim sisteminin kendi yükleyicisinin işlevlerini manuel olarak taklit eder. Yüksek seviyede, yükleyici birkaç kritik adım gerçekleştirir:
- PE başlıklarını ayrıştırır: Bölümleri ve bağımlılıkları da dahil olmak üzere yapısını anlamak için indirilen dosyanın DOS ve NT başlıklarını okur.
- Bellek tahsis eder: Kullanır
VirtualAllocYürütülebilir görüntüyü eşlemek için ana bilgisayar işlemi içinde yeni bir bellek bloğu rezerve etmek için. - Haritalar bölümleri: Yükleyici, PE başlıklarını ve bölümlerini kopyalar (
.textKod için ve.datadeğişkenler için) arabellekten sanal adreslerine göre yeni tahsis edilen bellek alanına. - İthalatı Çözür: Gerekli dinamik bağlantı kütüphanelerini (DLL) yükler ve PE’nin çalışması gereken harici işlevlerin adreslerini çözer. Bu kullanarak yapılır
LoadLibraryAVeGetProcAddress. - Yeniden değiştirme uygular: Bellekteki doğru konumlara işaret etmelerini sağlamak için koddaki sabit kodlanmış adresleri ayarlar.
G3TSYST3M, PE dosyasını başarıyla eşleştirdikten ve bağımlılıklarını çözdükten sonra, son adımların bellek izinlerini ayarlamayı ve yürütmeyi tetiklemeyi içerdiğini söyledi.
Yükleyici kullanır VirtualProtect Her bölüm için uygun izinleri ayarlamak için, örneğin kod bölümünü yürütülebilir olarak ve veri bölümünü okunabilir/yazılabilir olarak işaretlemek.
Bu, meşru yüklü bir programın davranışını yansıtır ve kodun işlemi çökertmeden çalışması için çok önemlidir. Bellek doğru bir şekilde hazırlandığında, yükleyici sadece PE dosyasının giriş noktasını çağırır ve kötü amaçlı kodu başlatır.
Bu yöntemin kırmızı takım etkileşimlerinde etkili olduğu kanıtlanmıştır ve Endpoint (XDR) ve Sophos XDR için Microsoft Defender gibi önemli EDR çözümlerinin atlanması gözlemlenmiştir.
Tamamen kusursuz olmasa da, özellikle anormal süreç davranışını zaman içinde işaretleyebilen gelişmiş AI ve makine öğrenimi tabanlı algılamaya karşı, özel yapım PE yükleyicileri, algılama için güçlü bir araç olarak kalır.
Teknik, derin hafıza denetimi ve davranışsal analiz gerçekleştirebilen güvenlik çözümlerine duyulan ihtiyaç olduğunu ve dosya tabanlı tehdit istihbaratına güvenmenin ötesine geçiyor.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
