Bir siber güvenlik araştırmacısı, şu anda kurumsal ortamlarda konuşlandırılan çoğu uç nokta algılama ve yanıt (EDR) çözümleri tarafından tespit edilen Windows kimlik bilgilerini ve sırları çıkarmak için sofistike yeni bir yöntem ortaya koymuştur.
“Silent Hasat” olarak adlandırılan teknik, ortak güvenlik uyarılarını tetiklemeden hassas kayıt defteri verilerine erişmek için belirsiz Windows API’lerinden yararlanır.
Atılım, kırmızı ekip operasyonlarında önemli bir ilerlemeyi temsil eder ve güvenlik çözümlerinin sistem faaliyetlerini nasıl izlemesine ilişkin kritik boşlukları vurgular.
Modern savunmalar tarafından giderek daha fazla tespit edilen ve engellenen geleneksel kimlik bilgisi hasat yöntemlerinden farklı olarak, bu yaklaşım, EDR ürünlerinin tipik olarak izlediği teltal artefaktları oluşturmadan tamamen bellekte çalışır.
Kimlik Bilgisi Hasat Algılama Artışları
Güvenlik çözümleri geliştikçe geleneksel Windows kimlik doğrulama teknikleri giderek daha güvenilmez hale geldi.
Mevcut yöntemlerin çoğu, hassas kayıt defteri kovanlarının yedek kopyalarını oluşturma, uzak kayıt defteri erişimini etkinleştirme veya doğrudan izlenen Yerel Güvenlik Otoritesi Alt Sistem Hizmeti (LSASS) işlemiyle doğrudan etkileşim kurma gibi iyi bilinen yaklaşımlara dayanır.
.webp)
Windows Yerel Güvenlik Otoritesi, iki kritik bileşen aracılığıyla kimlik bilgilerini yönetir:
- Sam Veritabanı: Windows kullanıcıları, grupları ve yerel kimlik bilgilerini şifreli formatta saklar.
- Güvenlik Politikası Veritabanı: Önbelleğe alınmış etki alanı kimlik bilgileri, makine tuşları ve LSA sırları içerir.
- Kayıt defteri depolama: Her iki veritabanı da diskteki korunan SAM ve güvenlik sicili kovanlarına karşılık gelir.
- Erişim Gereksinimleri: Standart erişim tipik olarak doğrudan kayıt defteri etkileşimi için sistem düzeyinde ayrıcalıklar gerektirir.
Bununla birlikte, bu korunan kayıt defteri kovanlarına erişmek genellikle sistem düzeyinde ayrıcalıklar gerektirir ve önemli adli kanıtlar üretir.
Mevcut yöntemler genellikle kayıt defteri kovanlarının yedek kopyalarını diskte oluşturmayı veya her ikisi de modern güvenlik araçlarının kolayca algıladığı konusunda net bir uzlaşma göstergeleri bırakan uzak kayıt defteri hizmetlerini etkinleştirmeyi içerir.
Modern EDR çözümleri, kritik sistem olaylarını izleyen çekirdek modu geri arama rutinleri etrafında merkezlenmiş sofistike tespit mekanizmaları kullanır.
Bu güvenlik ürünleri, kayıt defteri işlemleri meydana geldiğinde bildirim almak için cmregisterCallBackex gibi işlevleri kullanarak Windows çekirdeği ile geri arama kaydeder.
Kayıt defteri erişim denemeleri yapıldığında, çekirdek EDR sürücülerine belirli işlem türü ve hedeflenen kayıt defteri anahtarının veya değerinin tam yolu dahil olmak üzere ayrıntılı bağlam bilgileri sağlar.
Bu, güvenlik çözümlerinin HKLM \ Sam ve HKLM \ Security gibi hassas yerleri hedefleyen şüpheli etkinlikleri tanımlamasına olanak tanır.
Sistem performansını korumak için EDR ürünleri, her sistem olayını izlemek yerine yalnızca güvenlik ile ilgili en fazla kayıt defteri işlemlerini seçici olarak izler.
Bu odaklanmış yaklaşım, normal sistem işlemleri üzerindeki performans etkisini en aza indirirken kimlik bilgisi hasat girişimlerini tespit etmelerini sağlar.
Windows API’leri aracılığıyla sessiz hasat
Yeni sessiz hasat yöntemi, iki az kullanılan Windows API’lerini birleştirerek hem erişim kontrol kısıtlamalarını hem de EDR algılamasını atlatıyor.
Teknik, arayan SebackuppRivilege’yi etkinleştirdiğinde normal erişim kontrol listesi (ACL) kontrollerini atlayan reg_option_backup_restore bayrağı ile ntopenKeyex kullanır.
Daha eleştirel olarak, yöntem regqueryvalueexw veya ntqueryvaluekey gibi yaygın olarak izlenen API’ler yerine kayıt defteri değerlerini okumak için regquerymultipleValuesw kullanır.
.webp)
Bu nadiren kullanılan işlev, izleme kurallarını geliştirirken EDR satıcıları tarafından göz ardı edilmiş ve güvenlik uyarılarını tetiklemeden hassas verilere erişmesini sağlar.
.webp)
.webp)
Birden çok EDR platformunda test, regquerymultipleValuesw’nin son derece hassas kayıt defteri değerlerine karşı çağrılarının sıfır güvenlik uyarıları oluşturduğunu doğruladı.
Tüm işlem, kayıt defteri kovanı yedeklemeleri oluşturmadan veya sık sık izlenen API’leri çağırmadan bellekte meydana gelir, bu da algılamayı mevcut güvenlik çözümleriyle son derece zorlaştırır.
Bu araştırma, güvenlik araştırmacıları ve savunma teknolojileri arasındaki devam eden kedi ve fare oyununun altını çizerek, gözden kaçan sistem işlevselliğinin yerleşik güvenlik kontrollerini atlamak için nasıl yeni yollar sağlayabileceğini vurgulamaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!