Bir güvenlik araştırmacısı, güvenlik çözümlerini hedefleyen saldırı tekniklerinde önemli bir evrim işaretleyerek, savunmasız sürücüler gerektirmeden uç nokta algılama ve yanıt (EDR) sistemlerini ve antivirüs yazılımını geçici olarak devre dışı bırakabilen yeni bir araç yayınladı.
Windows Bileşenleri aracılığıyla Gelişmiş Kırma
EDR-Freze olarak adlandırılan ve araştırmacı Twosevenonet tarafından geliştirilen araç, sofistike bir yarış koşulu saldırısı yoluyla güvenlik süreçlerini askıya almak için Windows hatası raporlama işlevlerini kullanıyor.
Gelenekselden farklı olarak, saldırganların kötü niyetli sürücüler dağıtmasını gerektiren kendi savunmasız sürücü (BYOVD) tekniklerinizi getirin, EDR-Freze tamamen meşru Windows bileşenlerini kullanarak kullanıcı modunda çalışır.
Saldırı, hata ayıklama amacıyla çalışan süreçlerin bellek anlık görüntülerini oluşturan Windows ‘DBGhelp kütüphanesinden minidumpwrittump işlevinden yararlanıyor.
Bu işlem sırasında, işlev tutarlı bellek yakalamasını sağlamak için hedef işlemdeki tüm iş parçacıklarını askıya alır.
EDR-Freze, güvenlik yazılımına karşı döküm işlemini tetikleyerek ve daha sonra döküm işlemini askıya alarak bu davranışı kullanarak hedef güvenlik çözümünü süresiz olarak dondurur.
Teknik, özellikle WINTCB düzeyinde korunan işlem ışığı (PPL) ayrıcalıklarıyla çalışabilen bir Windows hatası raporlama bileşeni olan WerfaultSecure.exe işlemini özellikle hedefler.
Bunu CreateProcesSasppl aracıyla birleştirerek saldırganlar, güvenlik işlemlerini tipik olarak yetkisiz erişimden koruyan PPL koruma mekanizmalarını atlayabilir.
Araştırmacı, Windows Defender’ın MSMPeng.exe işlemini Windows 11 24H2’de belirli bir süre için başarıyla askıya aldığını gösterdi.
Araç iki parametreyi kabul eder: hedef güvenlik yazılımının işlem kimliği ve süspansiyon süresi, saldırganların kötü niyetli faaliyetler sırasında izlemeyi geçici olarak devre dışı bırakmasına izin verir.
Bu yaklaşım, izlenen sistemlerde uyarıları tetikleyebilen savunmasız sürücülerin dağıtılmasını gerektiren BYOVD saldırılarının temel sınırlamalarını ele almaktadır. EDR-Freze, yalnızca meşru Windows süreçlerini kullanır ve algılamayı güvenlik ekipleri için daha zorlaştırır.
Aracın sürümü, saldırganlar ve güvenlik satıcıları arasında devam eden kedi ve fare dinamiklerini vurgular.
EDR çözümleri BYOVD tekniklerini tespit etmede daha karmaşık hale geldikçe, tehdit aktörleri yerleşik işletim sistemi işlevselliğini kullanarak benzer hedeflere ulaşmak için alternatif yöntemler geliştirmektedir.
Güvenlik ekipleri, werfaultsecure.exe komut satırı parametrelerini inceleyerek potansiyel EDR-Freze kullanımını izleyebilir.
Şüpheli etkinlik, LSASS, antivirüs motorları veya EDR ajanları gibi hassas sistem süreçlerini hedefleyen süreci içerir, bu da güvenlik yazılımı manipülasyonunu gösterebilir.
Araştırmacı, EDR-Freze’ın kaynak kodunu GitHub’da halka açık hale getirerek meşru güvenlik araştırmaları ve kırmızı ekip egzersizleri için kullanımını vurguladı.
Bununla birlikte, aracın yetenekleri, saldırılar sırasında güvenlik kontrollerinden kaçmak isteyen kötü niyetli aktörlerin potansiyel kötüye kullanımı konusundaki endişelerini ortaya çıkarır.
Kuruluşlar, alışılmadık werfaultsecure.exe etkinliğini tespit etmek için güvenlik izleme yeteneklerini gözden geçirmeli ve bu ortaya çıkan kaçırma tekniğine karşı savunmak için standart PPL önlemlerinin ötesinde ek süreç koruma mekanizmalarını uygulamayı düşünmelidir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.