Bilgisayar korsanları, ikna edici, yanıltıcı web siteleri veya uygulamalar oluşturarak kullanıcıları aldatmak ve kötü amaçlı içerik sunmak için Windows Defender SmartScreen’i aktif olarak hedef alıyor ve kullanıyor.
Tehdit aktörleri, SmartScreen’den kaçınarak, kötü amaçlı içeriklerinin kullanıcıların sistemlerinde güvenliği tehlikeye atacak şekilde yürütülmesi olasılığını artırır.
Bu istismar genellikle kullanıcıları kandırmak ve SmartScreen’in koruyucu özelliklerini atlatmak için sosyal mühendislik taktiklerinin kullanılmasını içerir.
Son zamanlarda Trend Micro’daki siber güvenlik araştırmacıları, bilgisayar korsanlarının Windows makinelerini ele geçirmek için “CVE-2023-36025” olarak takip edilen Windows Defender SmartScreen kusurunu aktif olarak kullandıklarını keşfetti.
Kusur profili
- CVE Kimliği: CVE-2023-36025
- Açıklama: Windows SmartScreen Güvenlik Özelliği Güvenlik Açığı Atlama
- Yayınlanma: 14 Kasım 2023
- Son güncelleme: 22 Kasım 2023
- CVSS:3.1 8.8 / 8.2
Bilgisayar Korsanları Windows Defender SmartScreen’i İstismar Ediyor
Microsoft Windows Defender SmartScreen’deki CVE-2023-36025, tehdit aktörlerinin güvenlik kontrollerinden kaçmaya yardımcı olan .url dosyalarından yararlanmasına olanak tanır.
Sosyal medyadaki demo kodları, bunların Phemedrone Stealer yükü de dahil olmak üzere kötü amaçlı yazılım kampanyalarında kullanıldığını ortaya çıkardı.
MOVEit SQLi, Zimbra XSS gibi sıfır gün güvenlik açıkları ve her ay keşfedilen 300’den fazla güvenlik açığı sorunu daha da karmaşık hale getiriyor. Bu güvenlik açıklarının düzeltilmesindeki gecikmeler uyumluluk sorunlarına yol açar; bu gecikmeler, AppTrana’daki 72 saat içinde “Sıfır güvenlik açığı raporu” almanıza yardımcı olan benzersiz bir özellik ile en aza indirilebilir.
Ücretsiz Kayıt Ol
Phemedrone Stealer’ı başlatmak için tehdit aktörleri, genellikle URL kısaltıcılarla gizlenen kötü amaçlı İnternet Kısayolu dosyalarını Discord’a veya bulut hizmetlerine yerleştirir.
CVE-2023-36025’ten yararlanılması, kullanıcıların bilmeden hazırlanmış .url dosyalarını açmasına neden olur ve bu da Windows Defender SmartScreen’den kaçılmasına yardımcı olur. Dosyanın çalıştırılması saldırganın sunucusuna bağlanarak SmartScreen’i atlamak için bir Windows kısayolu kullanarak bir kontrol paneli öğesini (.cpl) indirip çalıştırır.
Bilgisayar korsanları, MITRE ATT&CK T1218.002’den yararlanarak, yükleyici görevi gören kötü amaçlı bir DLL dosyasını yürütmek için Windows Denetim Masası işlemini kullanıyor. DLL, “DATA3.txt” adlı karmaşık bir yükleyiciyi kullanarak PowerShell’i GitHub’dan bir sonraki aşamayı indirip yürütmeye çağırıyor.
Bunun yanı sıra araştırmacılar, PowerShell komutlarının GitHub’dan üç dosya içeren bir ZIP dosyasının indirilmesine yol açtığını keşfettiler.
Aşağıda bu üç dosyadan bahsettik: –
- WerFaultSecure.exe
- Wer.dll
- Güvenli.pdf
Wer.dll dosyası, zamanlanmış görevler oluşturarak kalıcılık sağlamak için ikinci aşama yükleyicinin şifresini çözer. API karma, dize şifreleme ve VMProtect gibi teknikler kaçırma mekanizmasını geliştirir.
Yükleyici, wer.dll dosyasındaki WerpSetExitListeners’ı tetikleyen WerFaultSecure.exe tarafından yürütülen DLL sahtekarlığını kullanarak yan yükleme yapar.
Dinamik API, CRC-32 karmasını kullanarak gizli içe aktarmaları çözer. Dinamik anahtar oluşturmaya sahip XOR tabanlı algoritmalar dize şifre çözmeyi karmaşık hale getirir. İkinci aşama, RC4 şifre çözme için SystemFunction032 kullanılarak şifresi çözülmüş secure.pdf dosyasında yüklü olarak gelir.
AllocADsMem ve ReallocADsMem bellek ayırır ve VirtualProtect bunu Yürütülebilir-Okuma-Yazma olarak değiştirir. API geri çağırma işlevleri, ikinci aşamanın Giriş Noktası ile CryptCATCDFOpen’ı kullanarak yürütme akışını ikinci aşamaya yönlendirir.
Saldırgan, bellekteki çeşitli dosya türlerinin yürütülmesine olanak tanıyan açık kaynaklı bir kabuk kodu olan Donut ikinci aşama yükleyicisini konuşlandırdı.
Hedeflenen Uygulamalar ve Hizmetler
Aşağıda, kötü amaçlı yazılımın hedef aldığı tüm uygulama ve hizmetlerden bahsettik: –
- Chromium tabanlı tarayıcılar
- Kripto cüzdanları
- Anlaşmazlık
- Dosya Yakalayıcı
- FileZilla
- Geko
- Sistem bilgisi
- Buhar
- Telgraf
CVE-2023-36025 yamalarına rağmen tehdit aktörleri, “Phemedrone Stealer” gibi kötü amaçlı yazılımlarla Windows Defender SmartScreen’i atlatmak için bu yamadan yararlanıyor.
Bu vaka, açık kaynaklı kötü amaçlı yazılımlar ile kamuya açık saldırılar arasındaki bağlantıyı temsil ediyor ve zamanında yazılım güncellemelerine ve güçlü güvenlik çözümlerinin uygulanmasına olan ihtiyacın altını çiziyor.
Uygun maliyetli penetrasyon testi hizmetleri mi arıyorsunuz? Dijital sistemlerin güvenlik durumunu değerlendirmek ve değerlendirmek için Kelltron’u deneyin. Ücretsiz demo.