BitlockMove adlı yeni bir kavram kanıtı (POC) aracı, Bitlocker’ın dağıtılmış bileşen nesne modelini (DCOM) arayüzlerini ve com kaçırma işleminden yararlanan yeni bir yanal hareket tekniği gösterir.
R-TEC Cyber Security’den Güvenlik Araştırmacısı Fabian Mosch tarafından yayınlanan araç, saldırganların zaten girişlenmiş bir kullanıcı oturumu içinde uzak sistemlerde kod yürütmelerini sağlayarak, kimlik bilgilerini çalma veya hesapları taklit etme ihtiyacını atlatıyor.
BitlockMove aracı, “etkileşimli kullanıcı” olarak yapılandırıldığında belirli COM sınıflarının geçerli kullanıcının oturumu bağlamında bir süreci nasıl ortaya çıkarabileceğini kullanır.
Diyelim ki bu süreçler aynı zamanda com kaçırmaya karşı da hassastır. Bu durumda, bir saldırgan kayıt defterini uzaktan değiştirebilir, Sunucu Mesaj Bloğu (SMB) aracılığıyla kötü amaçlı bir DLL sunabilir ve DCOM aracılığıyla yürütülmesini tetikleyebilir.
Bu teknik özellikle gizlidir, çünkü kötü amaçlı kod doğrudan hedef kullanıcının bağlamında çalışır ve LSASS’tan kimlik bilgisi hırsızlığı gibi geleneksel yöntemlere kıyasla daha az uzlaşma göstergesi oluşturur.
POC, özellikle BDEUILauncher Class (CLSID ab93b6f1-be76-4185-a488-a9001b105b94), birkaç işlem başlatabilir. Bunlardan biri, BaaUpdate.exebelirli parametrelerle başladığında com kaçırmaya karşı savunmasızdır.
Araç, ilgili bir Bitlocker Clsid’i kaçırıyor (A7A63E5C-3877-4840-8727-C1EA9D7A4D50) uzak sistemden. Bitlocker en çok Windows istemci işletim sistemlerinde etkin olduğundan, bu yanal hareket tekniği öncelikle sunucular yerine iş istasyonlarına karşı etkilidir.
Bitlockmove’un Çalışma Modları
C#ile yazılmış araç iki farklı modda çalışır: numaralandırma ve saldırı.
- Enum Modu: Bir saldırgan, bir hedef ana bilgisayardaki etkin kullanıcı oturumlarını tanımlamak için bu modu kullanabilir. Bu, tehdit oyuncunun saldırı için bir etki alanı yöneticisi gibi yüksek ayrı bir kullanıcı seçmesini sağlar.
- Saldırı Modu: Bu modda, araç saldırıyı yürütür. Saldırgan, hedef ana bilgisayarı, etkin oturumun kullanıcı adını, kötü amaçlı DLL’yi düşürme yolu ve yürütülecek komutu belirtir. Araç daha sonra uzaktan com kaçırma işlemini gerçekleştirir, yükü tetikler ve kaçırmayı kayıt defterinden çıkararak ve DLL’yi silerek temizler.
Savunucular belirli davranışları izleyerek bu tekniği tespit edebilir. Temel göstergeler arasında, hedeflenen bitLocker ile ilgili CLSID’nin uzaktan COM kaçırılması ve ardından BaaUpdate.exe Hijack konumundan yeni bırakılan bir DLL yükleme işlemi.
Şüpheli alt işlemler BaaUpdate.exe veya BdeUISrv.exe ayrıca güçlü uzlaşma belirtileridir. Güvenlik ekipleri, varlığını aramak için tehdit avcılık sorguları oluşturabilir. BdeUISrv.exe Meşru kullanımı nadir olduğu için süreç.
POC, imza tabanlı algılamayı basitleştirerek sert kodlanmış bir DLL kullanır; Ancak, saldırganlar bu tür savunmalardan kaçınmak için kolayca özel DLL’ler oluşturabilirler.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.