SilentButDeadly adlı yeni bir açık kaynak araç ortaya çıktı; bu araç, uç nokta tespit ve yanıt (EDR) ve antivirüs (AV) yazılımlarının ağ iletişimini keserek kesintiye uğratmak için tasarlandı.
Güvenlik araştırmacısı Ryan Framiñán tarafından geliştirilen araç, EDR bulut bağlantısında geçici, çift yönlü bloklar oluşturmak ve süreçleri sonlandırmadan tehditleri izole etmek için Windows Filtreleme Platformundan (WFP) yararlanıyor.
Yaklaşımı 2023 EDRSilencer tekniğine dayanıyor ve dinamik, kendi kendini temizleyen filtreler aracılığıyla gelişmiş operasyonel güvenlik sunuyor.
Araç, gerçek zamanlı analiz ve güncellemeler için ağırlıklı olarak bulut tabanlı telemetriye dayanan modern EDR mimarilerindeki önemli bir güvenlik açığını giderir. SilentButDeadly, giden veri yüklemelerini ve gelen komut alımını önleyerek uzaktan yönetimi ve tehdit istihbaratı paylaşımını etkili bir şekilde etkisiz hale getirir.
Güvenlik süreçlerini bozan agresif kaçırma yöntemlerinden farklı olarak, gizli ağ izolasyonuna odaklanır, bu da onu kontrollü ortamlarda kırmızı takım çalışmaları ve kötü amaçlı yazılım analizi için ideal kılar. Framiñán’ın uygulaması, açıkça yapılandırılmadıkça hiçbir kalıcı yapıtın kalmamasını sağlayarak adli ayak izlerini azaltır.
Sessiz Ama Ölümcül İnfaz
SilentButDeadly’nin yürütülmesi, yönetici erişimini onaylamak için CheckTokenMembership() gibi Windows API’lerini kullanan ayrıcalık doğrulamayla başlayarak yapılandırılmış aşamalarda gerçekleşir. Kullanıcılardan etkileşimli olarak ilerlemeleri istenir ve bu da kontrolü artırır.
Çekirdek keşif aşaması, çalışan işlemleri CreateToolhelp32Snapshot() aracılığıyla tarar ve SentinelOne’ın SentinelAgent.exe’si ve Microsoft Defender’ın MsMpEng.exe’si gibi önceden tanımlanmış bir EDR hedefleri listesiyle eşleşir. Tanımlandıktan sonra, tüm işlem yollarını sorgular ve otomatik temizleme için FWPM_SESSION_FLAG_DYNAMIC tarafından işaretlenen dinamik bir oturumla WFP’yi başlatır.
Ağ engelleme, ALE katmanlarında uygulanır: FWPM_LAYER_ALE_AUTH_CONNECT_V4 aracılığıyla giden ve FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V4 aracılığıyla gelen, yüksek öncelikli ağırlıklar (0x7FFF) ve işleme özel AppID koşulları kullanılarak.
Filtreler, FwpmGetAppIdFromFileName0() ile yürütülebilir yolları WFP bloblarına dönüştürerek hassas hedefleme sağlar. Yalıtımın ardından araç, hizmetleri düzgün bir şekilde durdurarak ve başlangıç türlerini SERVICE_DISABLED olarak ayarlayarak yeniden başlatmaları engelleyerek hizmetleri kesintiye uğratır. İsteğe bağlı temizleme tüm kuralları kaldırmadan önce bir özet, etkilenen işlemleri, blok sayılarını ve WFP durumunu görüntüler.
Desteklenen hedefler arasında basit bir dizi aracılığıyla genişletilebilirliğe sahip SentinelOne, Windows Defender ve Defender ATP (MsSense.exe) bulunur. Günlüğe kaydetme için –verbose ve kalıcı filtreler için –persistent gibi komut satırı seçenekleri esneklik katar; güçlü hata işleme ise zarif geri dönüşler sağlar.
Güvenlik özellikleri yalnızca meşru API’leri vurgular, çekirdek ayarlamaları gerektirmez, ancak yönetici hakları gerektirir. Operasyonel olarak EDR güncellemelerini, telemetriyi ve taramaları keser ancak yerel algılamayı olduğu gibi bırakır. Algılama riskleri, netsh wfp komutları veya PowerShell sorguları aracılığıyla algılanabilen WFP olay günlüklerini (ID’ler 5441, 5157) ve hizmet değişikliklerini içerir.
Framiñán, yetkili testlerin etik kullanımını vurguluyor, savunucuları WFP değişikliklerini izlemeye ve yerel önbelleğe alma ile dayanıklı EDR tasarımları uygulamaya çağırıyor.
GitHub’da Loosehose/SilentButDeadly altında mevcut olan araç, EDR bağımlılıkları hakkındaki tartışmaları ateşleyerek potansiyel olarak satıcı iyileştirmelerini teşvik ediyor. Siber tehditler geliştikçe bu tür araştırmalar, sürekli bağlantıya daha az bağımlı olan dengeli mimarilere olan ihtiyacın altını çiziyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
