RealBlindingEDR adı verilen açık kaynaklı bir araç, saldırganların Windows sistemlerindeki kritik çekirdek geri çağrılarını temizleyerek antivirüs (AV) ve uç nokta algılama ve yanıt (EDR) yazılımını kör etmesine, kalıcı olarak devre dışı bırakmasına veya sonlandırmasına olanak tanır.
2023’ün sonlarında GitHub’da piyasaya sürülen yardımcı program, keyfi bellek okuma ve yazma işlemleri için imzalı sürücülerden yararlanıyor ve altı ana çekirdek geri çağırma türünü hedeflemek için PatchGuard gibi korumaları atlıyor. Bu gelişme, aracın son saldırılarda Crypto24 gibi fidye yazılımı grupları tarafından benimsenmesi nedeniyle siber güvenlik profesyonelleri için alarma neden oluyor.
Aracın yaratıcısı, Çince dilindeki bir analiz makalesinde ayrıntılı uygulama bilgileri sağlarken, herhangi bir kötü amaçlı kullanımı reddederek yalnızca araştırma amaçlarını vurgulamaktadır.
RealBlindingEDR, echo_driver.sys veya dbutil_2_3.sys gibi savunmasız sürücülerden yararlanarak anında algılamayı tetiklemeden çekirdek düzeyinde erişim elde eder.
Kullanıcılar yürütülebilir dosyayı sürümlerden indirir, uyumlu bir sürücüyle eşleştirir ve körleme modu için “RealBlindingEDR.exe c:\echo_driver.sys 1” veya kapatmalar için değişkenler gibi komutları yürütür.
Depoya eklenen ekran görüntüleri, geri aramaların gerçek zamanlı olarak kaldırıldığını gösteriyor ve AV araçlarının genellikle engellediği dosya silme ve işlem sonlandırma işlemlerine olanak tanıyor.
RealBlindingEDR, CmRegisterCallback(Ex), ObRegisterCallbacks, PsSetCreateProcessNotifyRoutine(Ex), PsSetCreateThreadNotifyRoutine(Ex), PsSetLoadImageNotifyRoutine(Ex) ve MiniFilter sürücüleri gibi işlevler aracılığıyla kaydedilen geri aramaları sistematik olarak siler.
Bu mekanizmalar AV/EDR çözümlerinin süreç oluşturmayı, iş parçacığı etkinliğini, görüntü yüklemeyi, kayıt defteri değişikliklerini, dosya işlemlerini ve nesne tanıtıcılarını izlemesine olanak tanır. Örneğin, ObRegisterCallbacks’in kaldırılması, tanıtıcı korumasını ortadan kaldırarak sıradan yönetici kullanıcıların, normalde sonlandırılmaya direnecek EDR işlemlerini sonlandırmasına olanak tanır.
Süreç, ntoskrnl.exe ve fltmgr.sys dosyasındaki dışa aktarılan işlevler aracılığıyla PsProcessType veya FltGlobals gibi genel çekirdek yapılarının bulunmasını içerir.
Daha sonra, PatchGuard’ın neden olduğu mavi ekranlardan kaçınmak için geri arama girişlerinin bağlantılı listelerini geçerek işlev işaretçilerini geçersiz kılar veya liste başlıklarını yeniden yönlendirir. Windows 7’den 11’e ve çeşitli sunuculara yönelik uyarlama, geniş bir uyumluluk sağlar ve devam eden sorunlar GitHub aracılığıyla izlenir.
360 Security Guard, Tencent Computer Manager, Kaspersky Endpoint Security, Windows Defender ve AsiaInfo EDR gibi ürünlerle test edilen araç, uyarıları önlemek için merkezi yönetimle iletişimi koruyarak hedefin ana sürecini durdurmadan üç temel sonuca ulaşıyor.
Körleştirme modu, kötü amaçlı yazılımların düşmesi veya ayrıcalık yükseltmeleri gibi hassas davranışların izlenmesini önler. Kalıcı devre dışı bırakma, geri aramanın kaldırılmasından sonra korumalı dosyaların veya kayıt defteri girdilerinin silinmesi ve yeniden başlatmalardan sağ çıkılmasıyla gerçekleşir. Nesne korumaları ortadan kalktığında öldürmek kolaydır.
Demolar, örneğin, komut çıktılarının ve önceki ve sonraki durumların depo görüntülerinde gösterildiği gibi AV işlemlerinin Görev Yöneticisi aracılığıyla sonlandırılmasını ve kendi kendini koruyan dosyaların silinmesini gösterir.
RealBlindingEDR’nin yalnızca imzalı bir sürücü ve yönetici hakları gerektiren basitliği, etik araştırmalara yönelik olsa da, kırmızı ekip oluşturma ve gerçek dünya tehditleri açısından risk oluşturur.
Crypto24 gibi fidye yazılımı operatörleri bunu çok aşamalı saldırılara entegre ederek şifreleme öncesi savunmaları zayıflattı. Kuruluşlar, davranış analitiğini içeren gelişmiş EDR’yi kullanarak hassas sürücü yüklerini ve çekirdek anormalliklerini izlemelidir.
Microsoft ve AV satıcıları, sürücü imzasının uygulanmasını ve Sürücü İmzası Uygulaması Geçersiz Kılma azaltıcıları gibi araçları teşvik ediyor. Gelecekteki güncellemeler ETW sağlayıcılarını ve WFP geri aramalarını hedef alarak çekirdek düzeyinde kaçınma taktiklerini artırabilir.
Güvenlik ekiplerine olağandışı sistem dosyası erişimleri için uç nokta günlüklerini incelemeleri ve en az ayrıcalıklı sürücü kullanımına öncelik vermeleri önerilir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
