AhnLab Güvenlik Acil Durum Müdahale Merkezi’ndeki (ASEC) güvenlik analistleri, Sunlogin kusurlarını kullanarak, güvenlik yazılımını devre dışı bırakmak ve istismar sonrası araç seti Sliver’ı dağıtmak için Windows BYOVD saldırılarından yararlanan yeni bir bilgisayar korsanlığı kampanyası tespit etti.
Silver araç seti, Bishop Fox tarafından Cobalt Strike’a alternatif olarak oluşturuldu ve bir süredir tehdit aktörleri tarafından kullanılıyor. Aşağıdaki temel görevleri gerçekleştirmek için kullanılabilir: –
- Ağ gözetimi
- Komut yürütme
- Yansıtıcı DLL yükleme
- oturum oluşturma
- Süreç manipülasyonu
- Windows işlem geçişi
- çok oyunculu mod
- Derleme zamanı şaşırtması
- Dinamik kod oluşturma
Yükler ve Komutlar
Saldırgan, güvenliği ihlal edilmiş cihazlarda ters kabukları açmak veya aşağıdakiler gibi diğer yükleri yüklemek için PowerShell komut dosyalarını kullanır: –
Aşağıda, Sliver tarafından desteklenen komutlardan bahsetmiştik: –
Sliver tarafından oluşturulan ve komutların gönderilebildiği arka kapıyı kullanarak bir tehdit aktörü tarafından gerçekleştirilebilecek çeşitli kötü niyetli davranışlar vardır.
Sömürü
Çinli geliştiriciler tarafından geliştirilen bir uzaktan kontrol yazılımı olan Sunlogin (v11.0.0.33 ve öncesi), yakın zamanda iki 2022 güvenlik açığını hedefleyen saldırıların hedefi oldu. Aşağıda, yararlanılan güvenlik açıklarından bahsettik: –
Tehdit aktörleri, internette kolayca bulunabilen PoC istismarlarını kullanarak bu güvenlik açıklarından bu örnekte yararlandı.
.NET çerçevesi için taşınabilir yürütülebilir dosyanın kodunu çözme ve belleğe yükleme yeteneğine sahiptir. Açık kaynak aracı Mhyprot2DrvControl’e bir alternatif, bu yürütülebilir dosya biçiminde sunulur.
Çekirdek düzeyinde ayrıcalıklarla kötü amaçlı eylemler gerçekleştirmek için tehdit aktörleri, savunmasız Windows sürücülerini kötüye kullanır. Mhyprot2.sys dosyası, kötü amaçlı kod çalıştırmak için Mhyprot2DrvControl tarafından özel olarak kullanılır. Oyun için hile önleyici bir sürücü olmakla birlikte, Genshin Impact ve bu sürücü dijital olarak imzalanmıştır.
Tehdit aktörleri, sürücü yüklendikten sonra Windows çekirdek ayrıcalıklarına erişim elde etmek için sürücünün güvenlik açığından yararlanır. Kullanıcı modu program erişiminden korunan güvenlik işlemleri daha sonra yöntem kullanılarak sonlandırılabilir.
Harici bir kaynaktan Powercat, PowerShell komut dosyasında ikinci adım olarak indirilir. Bundan sonra, kullanıcı bir ters kabuğu çalıştırmak için bu kabuğu kullanarak C2 sunucusuna bağlanarak bir ters kabuğu çalıştırır. Böyle bir durumda saldırgan, güvenliği ihlal edilmiş cihaza uzak bir konumdan uzaktan erişebilir.
Sunlogin saldırılarına bazı durumlarda sisteme bir Sliver implantının (“acl.exe”) yüklenmesi eşlik etti. Sliver çerçevesi, tehdit aktörleri tarafından kullanılan bir implant oluşturur ve burada bu implant, Sliver çerçevesinin “Oturum Modunda” herhangi bir paketleyici kullanılmadan oluşturulur.
öneriler
Aşağıda Microsoft, aşağıda bahsettiğimiz birkaç azaltıcı önlem önerdi: –
- BYOVD saldırılarından korunmak için Microsoft, sistem yöneticilerinin Windows’ta engellenen sürücü listesini etkinleştirmesini önerir.
- Bu saldırı, onu engellemenin başka bir yolu olan AV öldürücünün karmasını engelleyerek de karşılanabilir.
- Yeni kurulan mhyprot2 hizmetleriyle ilişkili olay günlüklerine göz atın.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin