Scattered Spider olarak takip edilen finansal olarak motive olmuş bir tehdit aktörünün, EDR (Uç Nokta Tespiti ve Müdahalesi) güvenlik ürünleri tarafından tespit edilmekten kaçınmak için bir BYOVD (Kendi Savunmasız Sürücünüzü Getirin) saldırısında Intel Ethernet tanılama sürücülerini dağıtmaya çalıştığı gözlemlendi.
BYOVD tekniği, Windows’ta daha yüksek ayrıcalıklar elde etmek için saldırılarının bir parçası olarak açıklardan yararlanmaya açık olduğu bilinen bir çekirdek modu sürücüsü kullanan tehdit aktörlerini içerir.
Aygıt sürücülerinin işletim sistemine çekirdek erişimi olduğundan, bunlardaki bir kusurdan yararlanmak, tehdit aktörlerinin Windows’ta en yüksek ayrıcalıklarla kod yürütmesine olanak tanır.
Crowdstrike, bu yeni taktiği, siber istihbarat firmasının geçen ayın başında Scattered Spider hakkındaki bir önceki raporunun yayınlanmasından hemen sonra gördü.
En son Crowdstrike raporuna göre, bilgisayar korsanları Microsoft Defender for Endpoint, Palo Alto Networks Cortex XDR ve SentinelOne’ı atlamak için BYOVD yöntemini kullanmaya çalıştı.
Güvenlik ürünlerini devre dışı bırakma
CrowdStrike, Scattered Spider tehdit aktörünün, bir saldırganın özel hazırlanmış çağrıları kullanarak çekirdek ayrıcalıklarıyla rastgele kod yürütmesine olanak tanıyan Intel Ethernet tanılama sürücüsündeki yüksek önem düzeyine sahip bir güvenlik açığı olan CVE-2015-2291’den yararlanmaya çalışırken görüldüğünü bildirdi.
Bu güvenlik açığı 2015 yılında ihlal edilen cihazlara daha eski ve hala savunmasız bir sürüm yerleştirilerek giderilmiş olsa da, tehdit aktörleri, kurbanın sisteme uyguladığı güncellemeler ne olursa olsun bu kusurdan yararlanabilir.
Scattered Spider tarafından kullanılan sürücü, NVIDIA ve Global Software LLC gibi imza yetkililerinden çalınan farklı sertifikalarla imzalanmış, 35 işlevli küçük bir 64 bit çekirdek sürücüsüdür, bu nedenle Windows onu engellemez.
Tehdit aktörleri bu sürücüleri, uç nokta güvenlik ürünlerini devre dışı bırakmak ve savunucuların görünürlük ve engelleme yeteneklerini sınırlandırmak için kullanır ve hedeflenen ağlardaki operasyonlarının sonraki aşamaları için zemin hazırlar.
Başlatma sırasında sürücü, sabit kodlanmış bir hedeflenen güvenlik ürünleri dizisinin şifresini çözer ve hedef sürücüleri sabit kodlanmış ofsetlerde yamalar.
Enjekte edilen kötü amaçlı yazılım rutini, güvenlik yazılımı sürücülerinin artık bilgisayarı korumasalar bile normal şekilde çalışıyor gibi görünmesini sağlar.
Crowdstrike, ‘Scattered Spider’ın çok dar ve belirli bir hedefleme kapsamına sahip olduğunu söylüyor, ancak hiçbir kuruluşun BYOVD saldırıları olasılığını görmezden gelemeyeceği konusunda uyarıda bulunuyor.
Son zamanlarda, BlackByte fidye yazılımı çetesi ve Kuzey Koreli bilgisayar korsanlığı grubu Lazarus gibi diğer yüksek profilli tehdit aktörlerinin, izinsiz girişlerini yükseltilmiş Windows ayrıcalıklarıyla güçlendirmek için BYOVD saldırılarını kullandığını bildirdik.
Uzun süredir devam eden bir Windows sorunu
Microsoft, 2021’de bir engelleme listesi sunarak Windows’taki bu bilinen güvenlik sorununu çözmeye çalıştı.
Ancak, Eylül 2022’de çıkan Windows 11 2022 ve sonraki sürümleri çalıştırmadığınız sürece Windows bu sürücüleri varsayılan olarak engellemediğinden sorun kesin olarak ele alınmadı.
Daha da kötüsü, ArsTechnica’nın Ekim ayında bildirdiği gibi Microsoft, sürücü engelleme listesini yalnızca Windows’un her büyük sürümünde güncelleyerek cihazları bu tür saldırılara karşı savunmasız bıraktı. Microsoft o zamandan beri güncellemeleri yayınladı sürücü engelleme listesini düzgün bir şekilde güncellemek için bu hizmet hattını düzelten.
Microsoft, Windows kullanıcılarının bu BYOVD saldırılarına karşı koruma sağlamak için sürücü engelleme listesini etkinleştirmesini önerir. Bu destek makalesi, Windows Bellek Bütünlüğü özelliğini veya Windows Defender Uygulama Denetimi’ni (WDAC) kullanarak engellenenler listesini etkinleştirme hakkında bilgi sağlar.
Ne yazık ki, daha yeni sürücüleri olmayan cihazlarda Bellek Bütünlüğünü etkinleştirmek zor olabilir.