Rakipler, uç nokta algılama ve yanıt (EDR) sistemlerini atlamak için yöntemleri yenilemeye devam eder. Son derece sofistike bir yaklaşım, Windows için Etkinlik İzleme (ETW) gibi algılama mekanizmalarından kaçınmak için CPU seviyesindeki donanım kesme noktalarından yararlanmayı içerir.
Praetorian raporuna göre, bu teknik saldırganların çekirdek kodunu değiştirmeden kullanıcı alanlarındaki telemetriyi manipüle etmelerini sağlar ve geleneksel savunmalara önemli bir zorluk sunar.
EDR sistemlerinde ETW’nin rolü
Modern EDR çözümleri, hem kullanıcı modu uygulamalarından hem de çekirdek modu sürücülerinden gelen olayları kaydeden çekirdek düzeyinde bir izleme tesisi olan ETW’ye güvenmektedir.
ETW, bellek tahsisi, iplik manipülasyonu ve eşzamansız prosedür çağrıları (APC’ler) gibi sistem faaliyetleri hakkında kritik bilgiler sağlar. EDR platformları, gerçek zamanlı olarak kötü niyetli etkinlikleri tespit etmek ve yanıtlamak için bu günlükleri alır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Bununla birlikte, ETW’nin belirli olay tetikleyicilerine güvenmesi, tespiti atlamak isteyen rakipler için bir hedef haline getirir.
Örneğin, Microsoft’un ETW tehdit istihbarat sağlayıcısı, olayları gibi işlevler aracılığıyla günlükleri kaydeder EtwTiLogSetContextThreadiş parçacığı bağlam değişikliklerini izleme. EDR’ler, donanım kesme noktalarının kötüye kullanılması gibi şüpheli işlemleri tanımlamak için bu verileri kullanır.
Donanım kesme noktalarından yararlanmak
Donanım kesme noktaları, belirli bellek adreslerini veya talimatlarını izlemek için CPU düzeyinde hata ayıklama kayıtlarını (DR0 – DR7) kullanır. Praetorian, bu kesme noktalarının izlenen adreste okuma, yazma veya yürütme işlemleri gibi koşulların gerçekleştiğinde istisnaları tetiklediğini söyledi.
Kodu bellekte değiştiren yazılım kesme noktalarının aksine, donanım kesme noktaları donanım seviyesinde çalışır ve algılamayı zorlaştırır.
Geleneksel olarak, kullanıcı modu uygulamaları, API’leri kullanarak donanım kesme noktalarını ayarlar SetThreadContexthata ayıklama kayıtlarını güncellemek için çekirdek moduna geçiş yapar. Ancak, bu işlemler EDR’lerin izleyebileceği ETW olayları üretir.
Bunu atlatmak için, saldırganlar gibi alternatif yöntemlerden yararlanır NtContinueETW günlüğünü tetiklemeden, hata ayıklama kayıtları da dahil olmak üzere iş parçacığı bağlamlarını güncelleyen.
Kullanımı NtContinue EDR tespitinden kaçınmak için bir oyun değiştiricidir. İzlenen API’leri çağırmadan hata ayıklama kayıtlarını doğrudan değiştirerek SetThreadContextsaldırganlar gizli bir şekilde donanım kırılma noktaları oluşturabilir. Bu yaklaşım, EDR sistemlerini uyaracak telemetri üretmekten kaçınır.
Örneğin, bir saldırgan gibi bir işlevi kesebilir. AmsiScanBuffer (Windows Mal-Yazılım Karşı Tarama Arayüzü tarafından kullanılır) veya NtTraceEvent (ETW tarafından kullanılır).
Bu işlevler çağrıldığında, kesme noktası, vektörlü bir istisna işleyicisi tarafından işlenen bir istisnayı tetikler. İşleyici daha sonra ETW günlüklerinde saptanabilir izler bırakmadan yürütme akışını manipüle edebilir veya dönüş değerlerini değiştirebilir.
Praetorian, bu tekniğin mevcut EDR mimarilerinde kritik bir sınırlamanın altını çizdiğini söyledi: kullanıcı modu ve çekirdek mod kancalarından gözlemlenebilir telemetriye güvenmeleri.
Saldırganlar, donanım düzeyinde mekanizmalardan yararlanarak bu kancaları tamamen atlayabilir. Bu, EDR izleme işleminin dışında keyfi kod yürütmek için donanım kesme noktalarını kullanan “Blindside” gibi kavram kanıtı saldırılarında gösterilmiştir.
Azaltma stratejileri
Bu teknik oldukça etkili olsa da, tespit için bağışık değildir. Güvenlik ekipleri birkaç karşı önlem uygulayabilir:
- Hata Ayıklama Kayıtlarını İzleme: Beklenmedik değerler için hata ayıklama kayıtlarını (DR0 – DR3) düzenli olarak incelemek kötü amaçlı aktiviteyi gösterebilir. Aktif donanım kesme noktalarına sahip herhangi bir işlem incelenmelidir.
- Geliştirilmiş API İzleme: EDR’ler gibi işlevlere yönelik çağrıları izleyebilir
NtContinueve bunları şüpheli davranış kalıplarıyla ilişkilendirir. - Davranışsal Analiz: Sistem davranışında anomalileri tespit etmek için makine öğrenme modelleri kullanmak, geleneksel günlük kaydı mekanizmalarını atlayan kaçış denemelerinin belirlenmesine yardımcı olabilir.
Donanım kesme noktalarının sömürülmesi, ETW aracılığıyla telemetri üretiminden kaçınarak EDR algılamasını atlamak için sofistike bir yöntemi temsil eder.
Bu teknik mevcut güvenlik mimarilerindeki güvenlik açıklarını vurgularken, savunma stratejilerinde sürekli inovasyon ihtiyacının altını çizmektedir.
Kuruluşlar, gelişmiş izleme tekniklerini benimseyerek ve davranışsal analitiklerden yararlanarak, bu tür kaçak taktiklere karşı esnekliklerini artırabilirler.
Jenkins & Jira -> Ücretsiz Web Semineri kullanarak uygulama güvenliğini CI/CD iş akışlarınıza entegre etmek