Güvenlik araştırmacıları, tespit edilmeden kötü amaçlı kod yürütmek için Microsoft’un OneDrive uygulamasını kullanan karmaşık bir saldırı tekniği keşfettiler.
DLL yan yüklemesi olarak bilinen yöntem, meşru uygulamaları saldırgan tarafından kontrol edilen yazılımları çalıştırmaya kandırmak için Windows’un kitaplık dosyalarını yükleme biçiminden yararlanır.
Bu teknik, OneDrive’ın binlerce makineye yaygın olarak dağıtıldığı kurumsal ortamlar için önemli bir tehdit oluşturuyor.
Saldırı Vektörünü Anlamak
Güvenlik açığı, bir uygulama başlatıldığında Windows’un kitaplık dosyalarını arama biçiminden kaynaklanmaktadır.
OneDrive.exe başlatıldığında, işletim sistemi version.dll gibi gerekli dosyaları birden çok konumda arar. Sistem dizinlerini aramadan önce uygulamanın dizinini kontrol eder.
Saldırganlar, kötü amaçlı bir version.dll dosyasını OneDrive.exe ile aynı klasöre yerleştirerek bu öngörülebilir arama sırasını istismar eder.
Uygulama başlatıldığında, meşru Microsoft kitaplığı yerine farkında olmadan saldırganın kodunu yükler ve güvenilir OneDrive işlem bağlamında yetkisiz yürütmeye olanak tanır.
Bu yaklaşım özellikle tehlikelidir çünkü kötü amaçlı kod, sistem düzeyinde bir uygulama olan OneDrive.exe’nin kimliği ve izinleri altında çalışır.
Güvenlik araçları genellikle Microsoft tarafından dijital olarak imzalanan işlemlere güvenir, bu da bu tekniğin geleneksel uç nokta algılama ve yanıt sistemlerini aşmada son derece etkili olmasını sağlar.
Saldırganın kodu, OneDrive’ın normalde sahip olduğu tüm yükseltilmiş ayrıcalıkları ve ağ erişimini devralır.
Güvenlik araştırmacıları tarafından keşfedilen kavram kanıtı, temel DLL yüklemesinin ötesinde ek karmaşıklığı ortaya koyuyor.
Kötü amaçlı kitaplık, ana bilgisayar uygulamasıyla uyumluluğu koruyan bir teknik olan DLL proxy’sini kullanır.
Kötü amaçlı DLL, OneDrive beklenen işlevleri bulamadığında hemen çökmek yerine, meşru version.dll ile aynı işlevleri dışarı aktarır ve meşru çağrıları gerçek sistem kitaplığına iletir.
Bu, saldırganın kodu arka planda görünmez şekilde çalışırken OneDrive’ın normal şekilde çalışmasını sağlar.
Uygulama ayrıca, Vektörlü İstisna İşleme ve bellek sayfası koruma tekniklerini kullanan gelişmiş API kancasını kullanır.
Saldırı, güvenlik ürünlerinin algılayabileceği bariz yöntemlerle kodu doğrudan değiştirmek yerine, işlev çağrılarını Windows API düzeyinde engelliyor.
OneDrive, CreateWindowExW işlevini yürütmeye çalıştığında, kancalama mekanizması bu eylemi yakalar ve yürütme akışını saldırgan tarafından kontrol edilen koda yeniden yönlendirir.
Teknik, uygulamanın çalışma süresi boyunca kalıcılığı korumak için kendini sürekli olarak yeniden silahlandırır.
Kavram kanıtında saldırgan, süreç oluşturma yoluyla rastgele kod yürütme gerçekleştirir. Kötü amaçlı veri, DLL enjeksiyonundan sonra iki saniye bekler ve ardından yükseltilmiş ayrıcalıklara sahip bir komut başlatır.
Gösteride basit bir not defteri işlemi kullanılırken, gerçek saldırılarda bu fidye yazılımını çalıştırabilir, kimlik bilgilerini çalabilir, arka kapıları dağıtabilir veya komut ve kontrol bağlantıları kurabilir.
İki saniyelik gecikme, bir gizleme mekanizması görevi görerek, asıl saldırı başlamadan önce ilk OneDrive işleminin meşru görünmesine olanak tanır.
OneDrive’ı dosya senkronizasyonu ve işbirliği için kullanan kuruluşlar, uygulamanın kalıcı olarak yükseltilmiş izinleri ve ağ bağlantısını sürdürmesi nedeniyle belirli bir riskle karşı karşıyadır.
OneDrive’da kod yürütme olanağına sahip bir saldırgan, senkronize edilmiş dosyalara erişebilir, hassas belgeleri sızdırabilir, ağda kalıcılık sağlayabilir ve diğer sistemlere yanal olarak geçebilir.
Bu teknik, özellikle çalışanların kişisel ve kurumsal cihazlar arasında OneDrive aracılığıyla kurumsal verileri senkronize ettiği hibrit çalışma ortamlarıyla ilgilidir.
Kuruluşlar, uygulama dizinlerindeki beklenmeyen DLL dosyalarının izlenmesi, uygulamaların kitaplıkları yükleyebileceği yerlerin kısıtlanması ve güvenilir uygulamalardan şüpheli işlem oluşturulmasına yönelik davranış analizinin uygulanması da dahil olmak üzere birden fazla algılama katmanı uygulamalıdır.
Güvenlik ekipleri OneDrive dağıtım yapılandırmalarını incelemeli ve kritik uygulama dizinleri için dosya bütünlüğü izlemenin etkinleştirildiğinden emin olmalıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.