EDR-Freeze Aracının Teknik Çalışmaları ve Adli Eserler Ortaya Çıktı


EDR-Freeze Aracı Teknik Çalışmaları

Araştırmacı Itamar Hällström’ün yakın zamanda yaptığı bir analiz, güvenlik yazılımını geçici olarak devre dışı bırakan bir kavram kanıtlama tekniği olan “EDR-Freeze”in teknik çalışmalarını ve adli tıp izini ortaya çıkardı.

Meşru Windows bileşenlerini kötüye kullanan bu yöntem, Uç Nokta Algılama ve Yanıt (EDR) ve antivirüs (AV) işlemlerini geçici, geri döndürülebilir bir komaya sokarak saldırganların tespit edilmeden çalışmasına olanak tanır.

EDR-Freeze tekniği, amacına ulaşmak için Windows Hata Bildirimi (WER) sistemini akıllıca kötüye kullanır.

Çekirdek düzeyinde ayrıcalıklar elde etmek için savunmasız bir sürücüyü (BYOVD) getirmeye dayanan birçok kaçırma aracının aksine, bu yöntem tamamen kullanıcı modundan çalışır.

Saldırı, meşru, imzalı bir Microsoft yürütülebilir dosyasını başlatan EDR-Freeze aracı tarafından başlatılır. WerFaultSecure.exe. Bu yardımcı işleme, Windows Defender’ınki gibi bir hedef güvenlik işleminin mini dökümünü oluşturma talimatı verilir. MsMpEng.exe.

EDR Dondurma Aracı Güvenlik Sürecini Hedefliyor
EDR Dondurma Aracı Güvenlik Sürecini Hedefliyor

Mini döküm oluşturma sürecinin önemli bir yan etkisi; DbgHelp's MiniDumpWriteDump işlevi, hedef süreçteki tüm iş parçacıklarını askıya almasıdır.

google

EDR-Freeze aracı bu davranıştan yararlanır, dökümü başlatır, ancak onu yapılandırılabilir bir süre boyunca askıya alınmış durumda tutar ve EDR’yi çökertmeden etkili bir şekilde duraklatır.

Belirtilen süre geçtikten sonra işlem temiz bir şekilde durdurulur ve güvenlik süreci normal işlevine devam ederek standart günlüklerde minimum düzeyde iz bırakır.

Adli Eserleri Ortaya Çıkarmak

EDR-Dondurma tekniği, gizli doğasına rağmen sistemin belleğinde farklı eserlerin arkasında kalır. Bir anı imgesinin adli incelemesi tüm olay zincirini ortaya çıkarabilir.

Analiz araçları, hedef EDR süreci içinde askıya alınan iş parçacıklarını belirleyebilir ve bunların oluşturulma zamanlarını, işlemin etkinliği ile ilişkilendirebilir. WerFaultSecure.exe yardımcı süreç. Araştırmacılar ayrıca izin görevi gören süreç tanıtıcılarını da inceleyebilirler.

Adli Eserler
Adli Eserler

WerFaultSecure.exe süreç, aşağıdakiler de dahil olmak üzere belirli erişim haklarına sahip EDR sürecine ilişkin bir tanıtıcıya sahip olacaktır: PROCESS_SUSPEND_RESUMEbu da amacının güçlü bir göstergesidir.

Komut satırı argümanları ayrıca EDR-Freeze aracının hedef işlem kimliğini (PID) ilettiğini gösteren önemli kanıtlar sağlar. WerFaultSecure.exe.

Ayrıca teknik, aşağıdaki gibi geçici dosyalar oluşturur: t.txtçalışması sırasında. Itamar Hällström, bu dosyalar tamamlandıktan sonra silinse de, bunların bir bellek dökümünde bulunmasının değerli bir adli tıp ipucu görevi gördüğünü söyledi.

Tespit Stratejileri

Savunmacılar, özel tespit kurallarını kullanarak bu aktiviteyi proaktif olarak avlayabilir. YARA kuralları, hem EDR-Freeze ikili dosyasının kendisini hem de bellekteki davranış kalıplarını tanımlamak için geliştirilmiştir.

İkili odaklı bir kural, ilgili dizelerin bir kombinasyonunu arayabilir. WerFaultSecure.exe işlem manipülasyonu için komut satırı bayrakları ve API içe aktarmaları, örneğin CreateFileW Ve CreateEventW.

Davranış odaklı ikinci bir kural, ayrıcalık yükseltme API’leri ve birlikte kullanılan işlem askıya alma işlevleri gibi şüpheli göstergelerden oluşan bir küme için sistem belleğini tarayabilir.

Bu araştırma, saldırganların ticari becerilerindeki kritik bir evrimin altını çiziyor: Güvenlik araçlarını devre dışı bırakmak yerine, onları basitçe duraklatabilirler. Bu, Korumalı Süreç Işığı (PPL) süreçlerinin bile manipüle edilebileceğini ve güvenilir sistem bileşenlerini silahlara dönüştürebileceğini gösteriyor.

Bu saldırıların tespit edilmesi, savunucuların uç nokta uyarılarının ötesine geçmesini ve olay müdahale iş akışlarına bellek adli bilişimini dahil etmesini gerektirir.

Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.

googlehaberler



Source link