Yeni bir siber saldırı tekniği ortaya çıktı ve saldırganların düşük ayrıcalıklı bir standart kullanıcı hesabı altında çalışırken uç nokta algılama ve yanıt (EDR) sistemlerini atlamalarını sağladı.
Geleneksel olarak, EDR kaçırma idari veya sistem düzeyinde erişim gibi yüksek ayrıcalıklar gerektirir.
Bununla birlikte, bu yenilikçi yaklaşım, kötü niyetli yükleri meşru süreçler olarak gizlemek ve hem otomatik algılama sistemlerini hem de insan analistlerini aldatarak maskelenen ve yol gizlemesinden yararlanmaktadır.
Çekirdek Saldırı Teknikleri
EDR İzlemede İşlem Oluşturma Etkinlikleri
Sıfır salaryum raporlarına göre, süreç oluşturma olayları potansiyel tehditleri tanımlamak için çok önemlidir. Sysmon Log gibi araçlar, görüntü, komut çizgisi, currentDirectory ve parentprocessid gibi alanlar dahil olmak üzere işlem yürütme hakkında ayrıntılı bilgi.
Analistler genellikle şüpheli süreçlerin yürütme yollarına veya dosya adlarına göre araştırılmasına öncelik verirler.
Örneğin, C: \ Program Files \ Windows Defender \ msmpeng.exe’den çalışan bir işlem meşru görünebilir ve %Temp %\ SuperJuicy.exe’den bir işlem kırmızı bayrakları yükseltir.
EDR çözümleri, C: \ Program Files gibi dizinleri korumak için çekirdek düzeyinde korumaya dayanır.
İdari ayrıcalıklar olmadan, saldırganlar bu korumalı dizinlere yük getiremezler. Ancak, bu yeni teknik, dosya yolunun kendisini manipüle ederek bu tür kısıtlamaları atlatır.
Dosya maskelenme ve yol gizlemesi
Masquerading, saldırganların kötü niyetli dosyaları iyi huylu görünmesi için gizlediği siber güvenlikte tanınmış bir taktiktir. Yaygın yöntemler şunları içerir:
- Çift dosya uzantıları: Dosyaları Document.pdf.exe gibi adlandırma.
- Soldan sola geçersiz kılma (RLO): Özel karakterleri kullanarak dosya adı siparişini tersine çevirme.
- Meşru isim taklit: Dosyaları güvenilir uygulamalarla eşleştirecek şekilde yeniden adlandırma (örn., Svchost.exe).
Bu saldırıda, odak dosya adlarından dizin yollarına geçer. Saldırgan, ASCII Beyaz Alanı’na benzeyen Unicode karakterlerini kullanarak antivirüs yazılımının meşru yolunu taklit eden bir klasör oluşturur.
Örneğin, saldırgan tam yazma izinleriyle C: \ Program Files 00 adlı bir klasör oluşturur. Bu klasör C: \ Program olarak yeniden adlandırıldı[U+2000]UNICODE karakteri U+2000 (EN Quad) görsel olarak bir alana benzediği dosyalar.
Saldırgan, C: \ Program Files \ Windows Defender \ ‘in içeriğini bu yeni dizine kopyalar ve yüklerini (SuperJuicy.exe) ekler.
Yük yürütme
Yükü sahte dizinden yürütüldükten sonra, Sysmon Logs, C: \ Program Files \ Windows Defender \ SuperJuicy.exe’ye benzeyen bir görüntü yoluna sahip bir işlem oluşturma olayı gösterir.
Dikkatli inceleme veya Unicode karakterlerini tespit etmek için özel araçlar olmadan, analistler bunu meşru bir süreç için karıştırabilir.
EDR sistemleri için çıkarımlar
Unicode tabanlı yol gizlemesinin kullanılması, tehdit tespitini çeşitli şekillerde karmaşıklaştırır:
- Günlük analizinde karışıklık: Analistler, yanlış olası satışları araştırmak için değerli zaman harcayabilirler.
- Aldatıcı ilişkilendirme: Saldırı, meşru güvenlik yazılımının bir uzlaşması olarak yanlış yorumlanabilir.
- Uzun süreli bekleme süresi: İyi huylu görünerek, kötü amaçlı yük yükü hedef sistemde daha uzun süre devam edebilir.
Savunma stratejileri
- Gelişmiş Günlük Kuralları: Sysmon veya SIEM çözümlerini Unicode Whitespace karakterleri içeren bayrak yollarına yapılandırın.
- Görsel Göstergeler: Günlük görüntüleyicilerini Unicode karakterlerini açıkça görüntüleyecek şekilde değiştirin (örn. Programı göster[En Quad]Program dosyaları yerine dosyalar).
- Klasör oluşturma izinlerini kısıtlayın: C: \ gibi kritik dizinlere standart kullanıcı erişimini sınırlayın.
Bu yeni EDR kaçırma tekniği, siber saldırıların gelişen sofistike olmasını vurgulamaktadır. Güvenlik ekipleri, kütüklerdeki ince anomalilere görünürlüğü artırarak ve bu tür aldatıcı taktiklere karşı uç nokta korumalarını güçlendirerek uyum sağlamalıdır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free