
Hedef sistemlerde kötü amaçlı kod yürütmek için Bitlocker’ın Bileşen Nesne Modeli (COM) işlevselliğini kullanan yeni bir yanal hareket tekniği.
Bitlockmove kavram kanıtı aracı aracılığıyla gösterilen teknik, meşru pencereler bileşenlerinden yararlanırken geleneksel algılama mekanizmalarını atlayan yanal hareket taktiklerinde sofistike bir evrimi temsil eder.
Microsoft’un tüm sesli şifreleme yoluyla verileri korumak için tasarlanmış tam disk şifreleme özelliği olan Bitlocker, Windows uç nokta güvenliğinin temel taşı haline geldi.
Tipik olarak, cihaz hırsızlığı veya kayıp durumunda yetkisiz erişimi önlemek için iş istasyonlarında ve dizüstü bilgisayarlarda etkinleştirilen Bitlocker’ın kapsamlı koruması, altta yatan altyapısını kötüye kullanmak isteyen saldırganlar için cazip bir hedef haline getirmiştir.
Araştırmacı Fabian Mosch, sunumu sırasında her Windows uygulamasının veya özelliğinin, saldırı yüzeyini toplu olarak genişleten süreçler, dosyalar ve kayıt defteri anahtarları da dahil olmak üzere önemli bir nesne getirdiğini açıkladı.
Bitlocker verileri dinlenmedeki verileri etkili bir şekilde korurken, uygulaması sofistike tehdit aktörlerinin silahlanabileceği unsurları içerir.

Yeni açıklanan teknik, Bitlocker kayıt defteri anahtarlarının Windows Yönetimi Enstrümantasyonu (WMI) aracılığıyla belirli COM nesnelerini kaçırmak için uzaktan manipülasyonunu hedefler.
Bu yaklaşım, saldırganların hedef ana bilgisayarlarda etkileşimli kullanıcı bağlamında kod yürütmelerini sağlar, bu da tehlikeye atılan kullanıcı alan yöneticisi hakları gibi yüksek ayrıcalıklara sahipse etki alanı artışına yol açar.
Saldırı, Ibdeuilauncher arayüzü aracılığıyla BDeuilauncher sınıfını hedefleyen Bitlocker Com Nesnesi hiyerarşisinde kritik bir güvenlik açığından yararlanıyor. Bu arayüz, saldırganların kullanabileceği üç temel yöntem sağlar:
- Bdeuiprocessstart: Bitlocker işlemini başlatır (bdeuisrv.exe)
- Bdeuicontexttrigger: Bağlam manipülasyon özellikleri sağlar
- Getuserlogontime: Kullanıcı oturum açma zamanlama bilgilerini alır

Sömürü süreci CLSID’ye odaklanır ab93b6f1-be76-4185-a488-a9001b105b94
etkileşimli kullanıcı olarak dört farklı işlemi ortaya çıkarır. Bunlar arasında, baaupdate.exe süreci, giriş parametreleri ile yürütüldüğünde COM kaçırmaya karşı özellikle savunmasızdır.
Saldırı özellikle eksik CLSID’yi hedefliyor A7A63E5C-3877-4840-8727-C1EA9D7A4D50
hangi baaupdate.exe işlemi yüklemeye çalışır.
Fabin, bu CLSID için bir kayıt defteri girişi oluşturarak ve uygun subkeyler oluşturarak, saldırganların meşru bileşen yerine kötü amaçlı kod yüklemeye yönlendirebileceğini söyledi.
GitHub’da bulunan BitlockMove aracı, bu tekniğin iki operasyonel modda pratik uygulamasını gösterir:

Numaralandırma modu
Aracın keşif yeteneği, hedef sistemlerde aktif oturumları uzaktan numaralandırmak için Winsta.dll kütüphanesinden belgelenmemiş Microsoft API’lerini kullanır. WinStationEnumateW, WinstationOpenServerw ve WinstationQueryInformationW dahil olmak üzere bu API’lar, uzak masaüstü hizmetlerinin etkinleştirilmesini gerektirmeden kapsamlı oturum bilgileri sağlar.
Saldırı modu
Aktif sömürü aşaması sırasında Bitlockmove, WMI aracılığıyla hedef ana bilgisayara uzak bir bağlantı kurar ve uzak kayıt defteri hizmetini etkinleştirmek için sorgular yürütür. Araç daha sonra çevreyi com kaçırma için hazırlamak için gerekli kayıt defteri yolunu oluşturur ve özellikle CLSID anahtar yapısı altında girişler oluşturur.
Saldırı dizisi birkaç kritik adım içerir:
- Uzak Kayıt Defteri Etkinleştirme: Araç, uzak kayıt defteri hizmeti durumunu sorgular ve gerekirse etkinleştirir
- Kayıt Defteri Anahtar Manipülasyonu: INPROCSERVER32 alt anahtarıyla Saldırganın DLL’sine işaret eden kötü niyetli CLSID girişinin oluşturulması
- Süreç Borçlama: Bdeuilauncher sınıfı üzerinden Bitlocker işlemini tetiklemek
- Kod Yürütme: Saldırganın yükünü Meşru Bitlocker Proses Bağlamında Yükleme ve Yürütme
- Temizleme İşlemleri: Kötü amaçlı kayıt defteri girişlerini silerek saldırının izlerini kaldırma
Tekniğin sofistike olmasına rağmen, çeşitli saldırı aşamalarında çoklu tespit fırsatı mevcuttur. Güvenlik ekipleri, birkaç kilit alanda kapsamlı izleme uygulamaya odaklanmalıdır:
API İzleme
Numaralandırma aşaması, Microsoft’un resmi olarak desteklenen WTSenumerateSessionesw API’sinden farklı olan belgesiz winsta.dll API’lerine dayanmaktadır. Son nokta algılama ve yanıt (EDR) çözümleri, olağandışı API çağrılarını izlemelidir: özellikle:
- Meşru Microsoft Tools dışında winsta.dll kütüphaneleri yükleme işlemleri
- Standart olmayan oturum numaralandırma girişimleri
- Sıradışı WMI sorguları Hedefleme Hizmet Yapılandırmalarını
Hizmet Durumu İzleme
Uzak Kayıt Defteri Hizmetindeki değişiklikler kritik bir algılama noktasını temsil eder. Windows Etkinlik Kimliği 7040 Hizmet Durumu Değişikliklerini Yakalar ve Kuruluşlar şu için uyarma uygulamalıdır:
- Uzak Kayıt Defteri Hizmeti Engellilerden Etkin Eyaletlere Geçişler
- Hızlı Servis Durumu Değişiklikleri (Etkinleştirilmiş Kısa Zaman Çerçevelerinde Devre Dışı)
- Normal bakım pencerelerinin dışında meydana gelen servis değişiklikleri
Güvenlik ekipleri, şüpheli uzak kayıt defteri hizmeti değişikliklerini tespit etmek için Sigma kurallarını uygulayabilir:
title: Detection of Remote Registry Service Enablement
detection:
selection:
EventID: 7040
ServiceName: 'RemoteRegistry'
OldStartType: 'Disabled'
NewStartType: ['Manual start', 'Auto start']
condition: selection
level: high
Kayıt Defteri Denetimi
Kapsamlı kayıt defteri izleme belki de en etkili tespit mekanizmasını temsil eder. Kuruluşlar, etkilenen CLSID anahtarı için denetimi sağlamalı ve aşağıdakiler için izleme uygulamalıdır.
- Şüpheli CLSID yolları altında kayıt defteri anahtar oluşturma
- Inprocserver32 Alt Tez Modifikasyonları
- Hızlı Kayıt Defteri Anahtar Oluşturma ve Silinme Desenleri
Olay Kimlikleri 4657 (Kayıt Defteri Değeri Değişikliği), 4660 (Kayıt Defteri Anahtar Silinmesi) ve 4663 (kayıt defteri nesnesi erişimi), kayıt defteri manipülasyon girişimlerinde önemli görünürlük sağlar.
Proses Davranış Analizi
Son yürütme aşaması, güvenlik ekiplerinin izleyebileceği farklı süreç eserleri üretir:
- Bdeuisrv.exe svchost.exe’den yumurtlama işlemleri işlemleri
- Baaupdate.exe infazları ve ardından olağandışı çocuk süreçleri
- Beklenmedik Kullanıcı Bağlamlarında çalışan Bitlocker ile İlgili İşlemler
Bitlocker COM kaçırma tekniğinin açıklanması, yanal hareket taktiklerinin gelişen sofistike olmasını ve kapsamlı güvenlik izlemenin önemini vurgulamaktadır.
Teknik yeteneklerle ilgili olarak, güvenlik ekipleri için sunulan çoklu algılama fırsatları uygulanabilir savunma stratejileri sunmaktadır.
Kuruluşlar, Bitlocker gibi iyi tasarlanmış güvenlik özelliklerinin bile, altta yatan uygulamalardan yararlandığında saldırı vektörleri olabileceğini kabul etmelidir.
Tehdit aktörleri ağ uzlaşması için yenilikçi yaklaşımlar geliştirmeye devam ettikçe, siber güvenlik topluluğu bilgi paylaşmaya, sağlam tespit mekanizmaları geliştirmeye ve esnek savunma mimarileri oluşturmaya kararlı olmalıdır.
Fabian Mosch tarafından Troopers 2025’te sunulan araştırma, gelişmiş kalıcı tehdit taktikleri hakkında değerli bilgiler sağlar ve modern işletme ortamlarının korunmasında proaktif güvenlik önlemlerinin kritik önemini vurgular.
Integrate ANY.RUN TI Lookup with your SIEM or SOAR To Analyses Advanced Threats -> Try 50 Free Trial Searches