Bilgisayar korsanları, EDR algılamasından kaçınarak Windows sırlarını ve kimlik bilgilerini sessizce dışarı atabilir

Çoğu uç nokta algılama ve yanıt (EDR) çözümlerinden algılamadan kaçan pencere sırlarını ve kimlik bilgilerini sessizce eklemek için bir yöntem.

Bu teknik, bir Windows makinesinde ilk taban kazanmış olan saldırganların, ortak güvenlik uyarılarını tetiklemeden bir ağ boyunca yanal hareket için kimlik bilgilerini hasat etmesini sağlar.

Windows sırları nasıl yönetir

Yerel Güvenlik Kurumu (LSA), lsass.exe Proses, temel pencereler bileşeni hassas bilgileri yönetmekten sorumludur. LSA, disk içi kayıt defteri kovanlarına karşılık gelen iki bellek içi veritabanı kullanır:

• SAM Veritabanı: Kullanıcı, grup ve takma ad nesnelerini yönetir ve SAM Kayıt Dökümü Kovanı. Kullanıcı kimlik bilgilerini saklar, ancak bunları düz metin olarak alacak doğrudan bir API yoktur.
• Güvenlik Veritabanı: Politika, güvenilir alan, hesap ve gizli nesneleri yönetir, SECURITY Kayıt Dökümü Kovanı. Bu veritabanı, önbelleğe alınmış etki alanı kimlik bilgileri ve makine tuşları gibi LSA sırlarını tutar.

Bu veritabanları RPC arayüzleri aracılığıyla yönetilebilirken (MS-SAMR Ve MS-LSAD), depolanmış sırların şifresini çözmek için basit bir yol sunmazlar. Kimlik bilgilerine ve sırlara erişmek için, SAM Ve SECURITY Kayıt Defteri Kovanları gereklidir.

Bu kovanlar, hesaplara erişimi kısıtlayan isteğe bağlı erişim kontrol listeleri (DACL’ler) ile korunmaktadır. SYSTEM ayrıcalıklar. Kullanıcı kimlik bilgileri ve makine anahtarları gibi içindeki hassas veriler şifrelenir.

Bu bilgilerin şifresini çözmek, SYSTEM Şifreleme anahtarını yeniden yapılandırmak için kova.

Saldırganlar genellikle kimlik bilgilerini toplamak için çeşitli yerel ve uzak teknikleri kullanır, ancak modern güvenlik araçları en iyi bilinen yöntemleri tespit eder.

İle etkileşim lsass.exe Örneğin proses belleği, EDR’ler ve Windows Defender tarafından yoğun bir şekilde izlenen ve genellikle anında uyarılara neden olan yüksek riskli bir etkinliktir.

EDR çözümleri öncelikle sistem etkinliğini izlemek için çekirdek modu geri arama rutinlerine güvenir. Gibi işlevleri kullanarak CmRegisterCallbackExbir EDR’nin sürücüsü, kayıt defteri erişimi gibi belirli etkinlikler için Windows çekirdeği tarafından bildirilmek üzere kaydolabilir.

Bir süreç hassas bir anahtar okumaya çalıştığında, HKLM\SAM veya HKLM\SECURITYçekirdek EDR’yi bilgilendirir, bu da işlemi engelleyebilir veya bir uyarıyı artırabilir. Performansı yönetmek için EDR’ler, her bir sistem işleminden ziyade genellikle yüksek riskli API çağrıları ve kayıt defteri yolları listesini izler.

Sessiz pesfiltrasyon için yeni bir yöntem

Bu tekniği ortaya çıkaran araştırmacı Sud0RU’ya göre, yeni, iki yönlü bir yaklaşım, saldırganların daha az bilinen pencere içlerinden yararlanarak bu savunmaları atlamasına izin veriyor.

Bu yöntem, kayıt defteri kovanlarının diskli yedeklemelerini oluşturmaktan kaçınır ve SYSTEM-Yerel bir yönetici bağlamında faaliyet gösteren seviyeli ayrıcalıklar.

1. Erişim kontrollerini atlamak NtOpenKeyEx: İlk adım, belgelenmemiş yerel API’yi kullanmayı içerir NtOpenKeyEx. Bu işlevi arayarak REG_OPTION_BACKUP_RESTORE bayrak ve etkinleştirme SeBackupPrivilege (Yöneticiler için kullanılabilir), bir saldırgan korumalı kayıt defteri anahtarlarında standart ACL kontrollerini atlayabilir. Bu, doğrudan okuma erişimi sağlar SAM Ve SECURITY olmaya gerek kalmadan kovan SYSTEM kullanıcı.
2. İle kaçan tespit RegQueryMultipleValuesW: Erişim kazanıldıktan sonra, bir sonraki zorluk, EDR uyarılarını tetiklemeden verileri okumaktır. Çoğu EDRS, kayıt defteri değerlerini okumak için kullanılan ortak API çağrılarını izleyin, örneğin RegQueryValueExW. Bunun yerine bu yeni teknik kullanıyor RegQueryMultipleValuesWbir kayıt defteri anahtarıyla ilişkili değer adları listesi için veri alan bir API. Bu işlev daha az sık kullanıldığından, birçok EDR satıcısı bunu izleme kurallarına dahil etmemiştir. Bir seferde tek bir değer okumak için bu API’yi kullanarak, saldırganlar şifreli sırları çıkarabilir. SAM Ve SECURITY tespit edilmeden kovan.

Bu birleşik strateji, tüm işlemin bellekte gerçekleşmesini sağlar, disk üstü eserler bırakmaz ve genellikle kötü niyetli etkinliği işaretleyecek API çağrılarından kaçınır.

Sonuç, kimlik bilgilerini hasat etmek için sessiz ve etkili bir yöntemdir. Sunmuş verilerin şifresini çözmek ayrı bir süreç olmakla birlikte, bu toplama tekniği, olgun savunma sistemlerinin bile işletim sisteminin kendisinde gözden kaçan, meşru işlevselliklerden yararlanarak atlatılabileceğini göstermektedir.

Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.