Güvenlik araştırmacıları Dylan Tran ve Jimmy Bayne, Windows sistemlerindeki sıkışmış bileşen nesne modeli (COM) nesnelerini sömüren yeni bir filessiz yanal hareket tekniğini tanıttılar.
Google Project Zero’dan James Forshaw tarafından yapılan araştırmalara dayanan bu yöntem, saldırganların sunucu tarafı dağıtılmış COM (DCOM) işlemi bağlamında .NET yönetilen kodu yürütmesine izin verir.
Teknik, STDFont nesnesini ele geçirmek için Windows Kayıt Defteri’ni manipüle etmeyi ve .NET Framework’ten System.oNject’i başlatacak şekilde yeniden yönlendirmeyi içerir.
Idispatch arabiriminden yararlanarak ve DCOM üzerinde .NET yansımasını gerçekleştirerek saldırganlar, herhangi bir dosyayı diskte bırakmadan COM sunucusuna keyfi .NET montajlarını yükleyebilir.
Siber güvenlik için çıkarımlar
Bu yeni saldırı vektörü, savunucular için önemli zorluklar sunuyor.
Tekniğin sözsüz doğası, geleneksel dosya tabanlı güvenlik önlemlerini kullanarak tespit etmeyi zorlaştırır.
Buna ek olarak, COM ve DCOM gibi meşru pencere bileşenlerinin kötüye kullanılması, saldırganların belirli güvenlik kontrollerini atlamasına izin verebilir.
Araştırmacılar, forshops.exe adı verilen bir kavram kanıtı aracı oluşturarak tekniğin etkinliğini gösterdiler.
Rapora göre, bu araç bir hedef makineye uzaktan bağlantı kurabilir, gerekli kayıt defteri anahtarlarını manipüle edebilir ve korunan bir işlem ışığı (ppl) svchost.exe işleminde kötü amaçlı kod yürütebilir.
Mevcut uygulamanın bir sınırlaması, kötü niyetli yükün ömrünün COM istemci işlemine bağlı olmasıdır.
Forshops.exe com referanslarından çıktığında veya temizlediğinde, uzaktan yük de sona erer.
Araştırmacılar bu konuya çeşitli çözümler denediler, ancak daha fazla iyileştirmenin yapılabileceğini kaydetti.
Savunma önerileri
Bu tehdidi azaltmak için güvenlik uzmanları birkaç savunma önlemi uygulamalıdır.
Bunlar, WaasMedicsVC svchost.exe işlemindeki CLR yük olaylarının izlenmesini, standart CLSID ile ilgili kayıt defteri manipülasyonlarının algılanmasını ve .netframework kayıt defteri anahtarındaki etkin OlanSelatestClr ve AllowdComReftion değerleri için avlanmayı içerir.
Ayrıca, kuruluşlar ana bilgisayar tabanlı güvenlik duvarları kullanılarak mümkün olduğunca DCOM geçici bağlantı noktası erişimini kısıtlamayı düşünmelidir.
Araştırmacılar ayrıca mevcut güvenlik araçlarına entegre edilebilen standart Forshops.exe yürütülebilir dosyasını tespit etmek için bir Yara kuralı sağladılar.
Bu tekniğin gösterdiği gibi, saldırganlar Windows bileşenlerini kötü niyetli amaçlar için kullanmanın yenilikçi yollarını bulmaya devam ediyor.
Güvenlik ekipleri uyanık kalmalı ve bu gelişen tehditleri ele almak için savunmalarını uyarlamalıdır.
Kuruluşlar, önerilen kontrolleri uygulayarak ve bu tür gelişmiş tekniklerin farkındalığını koruyarak, kendilerini sözsüz kötü amaçlı yazılımlara ve yanal hareket saldırılarına karşı daha iyi koruyabilir.
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılımları, kimlik avı olaylarını analiz edin ve herhangi biriyle canlı erişim sağlayın. Run -> Şimdi ücretsiz başlayın.