SafeBreach araştırmacıları, Windows sistemlerinde kötü amaçlı kodları gizlice yürütmek için kullanılabilecek sekiz yeni süreç ekleme tekniği keşfetti.
Windows iş parçacığı havuzlarını (kötüye) kullandıkları için “Havuz Partisi” olarak adlandırılan bu süreç enjeksiyon teknikleri tüm süreçlerde çalışıyor ve araştırmacılara göre önde gelen beş EDR/XDR çözümüne karşı test edildiklerinde tespit edilemediler: Palo Alto Cortex, SentinelOne EDR, CrowdStrike Falcon, Uç Nokta İçin Microsoft Defender ve Cybereason EDR.
“Havuz Partisi” proses enjeksiyon teknikleri
SafeBreach araştırmacısı Alon Leviev, “Süreç enjeksiyonu genellikle üç temel öğeden oluşan bir zincirden oluşur” diye açıkladı: Tahsis ilkel, hedef sürece bellek ayırır, yazma ilkel, tahsis edilen belleğe kötü amaçlı kod yazar ve yürütme ilkel bu kodu çalıştırır.
Süreç enjeksiyonu (Kaynak: SafeBreach)
SafeBreach Güvenlik Araştırması Başkan Yardımcısı Tomer Bar, “EDR’ler enjeksiyonun ilk iki adımına (bellek tahsisi ve uzak işleme yazma) izin veriyor ve tespitlerini son adım olan uzaktan yürütmeye odaklıyor” diyor.
EDR’leri engellemek için Leviev ve meslektaşları diğer iki ilkeyi temel alan bir yürütme ilkesi yaratmanın bir yolunu buldular. (Tekniklerle ilgili teknik yazıya buradan ulaşabilirsiniz.)
Bar, Help Net Security’ye verdiği demeçte sorunun, EDR’lerin tespitlerini eylemi gerçekleştiren sürecin kimliğine dayandırması olduğunu söyledi. “Güvenilir bir süreçse eyleme izin verilecek, değilse eylem engellenecek” dedi.
Kendisi ayrıca “PoolParty” saldırılarının fidye yazılımı ve kimlik bilgisi dökümü tespitleri gibi ek tespit mekanizmalarını atlayabileceğini de söyledi.
“Bunun bir örneği, Microsoft’un, korumalı klasörlerin içindeki dosyalar üzerinde herhangi bir değişiklik yapılmasını veya silinmesini engelleyen kontrollü klasör erişim korumasıdır. Ancak aşağıdaki gibi belirli işlemlerde değişiklik yapılmasına izin verilir: explorer.exe, [and] Fidye kodunu ona enjekte ettiğimizde korumayı aşabilir ve korumalı klasörlerdeki tüm dosyaları şifreleyebiliriz” diye açıkladı.
“Başka bir örnek, test edilen tüm EDR’ler tarafından engellenen LSASS sürecinden kimlik bilgilerinin atılmasıdır. Ancak LSASS sürecine kod enjekte edersek, enjekte edilen kodun LSASS sürecini (kendisini) terk etmesine izin verilir.
Yeni tespitler yayınlandı (veya yakında yayınlanacak)
Leviev, teknikleri geçen hafta Black Hat Europe’ta izleyicilerle paylaştı ve Safebreach, daha fazla araştırma ve geliştirme için kullanılabilecek kavram kanıtlama kodunu yayınladı.
Araştırmacılar, “Havuz Partisi” tekniklerini çözümlerine göre test ettikleri EDR satıcılarıyla temasa geçti ve bazılarının yeni tespitler geliştirip yayınladıklarını söyledi.
Daha fazla bilgi için beş şirkete sorduk.
“SafeBreach’ten araştırmacılar, süreç enjeksiyon teknikleriyle ilgili bulgularını paylaşmak için Bug Bounty programımız aracılığıyla CrowdStrike’a ulaştı. Bulguları hakkında daha fazla bilgi edinmek için araştırmacıyla görüştükten sonra, Falcon sensörünü bu özel tekniğe yönelik görünürlük ve tespit yetenekleri sağlayacak şekilde güncelledik; bu yeni sensörün piyasaya sürülmesi Ekim ayında yayınlandı.”
“Tekniğin diğer müşteri ortamlarında uygulandığını görmedik ve ilgili faaliyetleri izlemeye devam ediyoruz. Sorumlu açıklamalarından dolayı SafeBreach’e teşekkür ediyoruz ve CrowdStrike müşterilerinin en son araştırmalara karşı korunmasını sağlamak için onlarla yakın işbirliği içinde çalışmaya devam ediyoruz.”
SentinelOne, ürünlerinin, çözümleri tarafından korunan cihazlarda bu tehdidi etkili bir şekilde algıladığını ve politika ayarlarına göre sonlandırdığını doğruladı.
Redmond devinin sözcüsü, “Microsoft’un şu anda ekleyeceği bir şey yok” yorumunu yaptı.