Siber Savaş / Ulus Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suç, Yönetim ve Risk Yönetimi
Lazarus Casusluk Grubunun Gelişmiş Kötü Amaçlı Yazılımı Antivirüs İzlemesinden Kaçıyor
Mathew J. Schwartz (euroinfosec) •
20 Ağustos 2024
Kuzey Kore’nin Lazarus bilgisayar korsanı ekibi, hedeflenen cihazlara kötü amaçlı yazılım yüklemek için Microsoft Windows’taki sıfır günlük bir güvenlik açığını tekrar istismar etti.
Ayrıca bakınız: Panel | Siber Saldırılar Artıyor — Ve Siber Sigorta Oranları Fırlıyor
Microsoft, aylık Salı Yaması güncelleme serisinin bir parçası olarak 13 Ağustos’ta Windows Yardımcı İşlev Sürücüsünü yamadı – Afd.sys – WinSock’un CVE-2024-38193 olarak adlandırılan sıfır günlük bir açığı düzeltmesi için. Güvenlik uzmanları, Microsoft’un yaygın olarak kullanıldığı konusunda uyarmasının ardından, kullanıcılara düzeltmeyi mümkün olduğunca çabuk yüklemelerini tavsiye ediyor.
Bu güvenlik açığından faydalanmak saldırganların ayrıcalıkları yükseltmesine olanak tanır. “Başarılı bir faydalanma, kullanım sonrası boş bellek yönetimi hatası yoluyla gerçekleşir ve şu sonuçlara yol açabilir: system Güvenlik firması Rapid7 13 Ağustos’ta “Ayrıcalıklar” dedi. “Tavsiye daha fazla ipucu sağlamıyor, ancak halihazırda mevcut olan istismar, düşük saldırı karmaşıklığı, kullanıcı etkileşimi olmaması ve düşük ayrıcalıklar gerektirmesi nedeniyle, kötü amaçlı yazılımları uzak tutmak için bunun hemen yamalanması gereken bir sorun olduğunu düşünüyorum.”
Bu uyarının ne kadar isabetli olduğu ortaya çıktı çünkü açığı tespit edip Haziran ayı başında Microsoft’a bildiren iki Avast güvenlik araştırmacısı, Cuma günü Microsoft’un açığı düzeltmeden önce, açığın Kuzey Kore hükümetiyle bağlantılı bir ulus-devlet bilgisayar korsanlığı grubu olan Lazarus tarafından kullanıldığını bildirdi.
Araştırmacılar Luigino Camastra ve Martin Milanek, saldırganların “yöneticiden çekirdeğe sürücü istismarının” ardındaki amacın, hedeflenen sistemlere Fudmodule adlı bir kök araç takımı yerleştirmek olduğunu söyledi. Araştırmacılar, saldırganların saldırı zincirinin bir parçası olarak sıfır günlük bir güvenlik açığını hedefleme kararını “Gizliliğin birincil motivasyonları olduğuna inanıyoruz” şeklinde yorumladı.
Saldırganların Fudmodule’ü kullanmalarının “faaliyetlerini güvenlik yazılımlarından gizlemelerine” olanak sağladığını söylediler.
Araştırmacılar, kaç kuruluşun hedef alındığını veya hangi sektörlerde faaliyet gösterdiklerini ayrıntılı olarak açıklamadılar; ancak Lazarus ve ona bağlı ulus-devlet bilgisayar korsanlığı gruplarının, sürekli nakit sıkıntısı çeken Kuzey Kore rejimine hizmet etmek için büyük miktarlarda kripto para çalma eğilimi var (bkz: Kuzey Kore’nin Devlet Destekli Aşırı Kripto Para Hırsızlığı).
Kuzey Kore, kâr amaçlı bilgisayar korsanlığını destekleyen, çalınan parayı kitle imha silahlarının geliştirilmesini finanse etmek ve Pyongyang’a sert para enjekte etmek için kullanan nadir devletlerden biridir. Hükümet ayrıca Batılı hükümetlerin nükleer tesisleri, araştırma enstitüleri ve savunma sistemlerine ilişkin istihbarat çalmak için bilgisayar korsanlığı ekiplerini konuşlandırır.
Windows Sürücülerinin Tekrar Hedeflenmesi
Bu istismar size tanıdık geliyorsa, bunun nedeni Kuzey Koreli bilgisayar korsanlarının yönetici-çekirdek sürücülerini hacklemeye devam etmesidir.
Şubat ayında Microsoft, Lazarus’un hedef sistemlerde sistem düzeyinde ayrıcalıklar elde etmek için kullandığı, CVE-2024-21338 olarak adlandırılan daha önce bilinmeyen bir güvenlik açığını düzeltti.
Bu güvenlik açığı, CVE-2024-38193’ten farklıydı çünkü appid.sys Windows güvenliğinin önemli bir bileşeni olan AppLocker sürücüsü, bir bilgisayarda hangi uygulamaların çalışabileceğini kontrol eden politikalara ve bu kuralların ne kadar sıkı bir şekilde uygulanması gerektiğini belirleyen farklı uygulama modlarına sahiptir (bkz: Lazarus Group Windows AppLocker Sürücüsü Zero-Day’i Açığa Çıkardı).
Şubat ayında düzeltilen açığı bulup tekrar Microsoft’a bildiren Avast, Ağustos 2023’te bir kavram kanıtı ve güvenlik açığı raporu sunduğunu söyledi.
Microsoft açığı düzelttiğinde, sıfır günlük güvenlik açığı Lazarus grubu tarafından Fudmodule’u hedeflenen sistemlere gizlice sokmak için yapılan saldırılarda vahşi doğada aktif olarak istismar ediliyordu. Avast araştırmacıları, Lazarus’un Fudmodule’u ilk ortaya çıktığı zamandan beri elden geçirdiğini ve Microsoft Defender, CrowdStrike Falcon ve HitmanPro gibi antivirüs araçları tarafından bir sistemi korumak için kullanılan korumalı süreçleri devre dışı bırakma yeteneği gibi ek yetenekler kazandırdığını söyledi.
Güvenlik firması Fudmodule’u “Lazarus’un cephaneliğindeki en karmaşık araçlardan biri” olarak tanımladı ve “Windows güvenlik modelinin yönetici düzeyindeki bir saldırganın çekirdeğe doğrudan erişmesini engelleyeceğini garanti etmediğini” belirtti. CVE-2024-21338’in Lazarus’un tam olarak bunu yapmasına izin verdiği şey de buydu: “yönetici ile çekirdek arasındaki ince çizgiyi” köprülemek.
Avast, Şubat ayında yaptığı açıklamada, “yöneticiden çekirdeğe sıfır gün korumasının artık tükendiğini” belirterek, Lazarus’un “ya yeni bir sıfır gün açığı keşfedebileceğini” ya da daha önce kullandığı taktiklere başvurabileceğini, yani imzalı ancak güvenlik açığı bulunan sürücüleri “kendi güvenlik açığı bulunan sürücünüzü getirin” veya BYOVD saldırısı olarak bilinen yöntemle sistemlere gizlice yerleştirebileceğini bildirdi.
BYOVD’nin Yükselişi
Lazarus’un Fudmodule’ü bir kurbanın sistemine gizlice sokmak için BYOVD’yi kullanması, güvenlik firması Eset’in ertesi yıl bildirdiğine göre, hacker ekibinin bunu bir Hollandalı kuruluşa karşı kullandığı en azından Ekim 2021’e dayanır. Araştırmacılar, saldırının “dahili adı Fudmodule olan 88.064 baytlık kullanıcı modu dinamik olarak bağlı bir kütüphane” kullanımını içerdiğini ve bunun bellek içi kabuk kodu olarak çalıştırıldığını söyledi.
Bu saldırı, Mayıs 2021’de keşfedilen ve CVE-2021-21551 olarak atanan güvenlik açıklarına sahip, Dell tarafından imzalanmış meşru bir sürücüyü yüklemek için tasarlanmıştı (bkz: Milyonlarca Dell Cihazı Sürücü Güncelleme Hatasına Karşı Savunmasız).
Sürücüyü yükledikten sonra saldırganlar bunu güvenlik izlemesini devre dışı bırakmak için kullandılar. Eset, bu yaklaşımı geliştirmenin “şüphesiz derin araştırma, geliştirme ve yoğun testler gerektirdiğini” söyledi. İzlemeyi devre dışı bıraktıktan sonra saldırganlar, bilgileri hedef alıp çalmayı amaçlayan saldırılarına devam etmekte daha özgür olacaklardı.
Yöneticiden Çekirdeğe Saldırılar Yaygınlaşıyor
Avast, Haziran ayında ve bu yılın başlarında tespit edilen Lazarus saldırılarının da gösterdiği gibi, yönetici-çekirdek saldırılarının üç kategoriye ayrıldığını, her birinin gizliliğinin giderek arttığını ancak zorluklarının da arttığını söyledi:
- N günlük BYOVD istismarları: n-gün, 2021’de istismar edilen Dell sürücüsü Lazarus gibi, istismar ayrıntılarının serbestçe bulunabileceği bilinen bir güvenlik açığıdır. Saldırganlar için dezavantajı, güvenlik açığı olduğu bilinen sürücülerin Windows tarafından engellenebilmesidir.
- Sıfırıncı gün BYOVD: Saldırganlar, yalnızca kendilerinin bildiği sıfır günlük bir güvenlik açığı içeren meşru ve imzalı bir sürücüyü hedeflenen sisteme yükler.
- Zaten kurulu sürücüde sıfır gün: Avast, “Yöneticiden çekirdeğe geçişin kutsal kasesi, hedef makinede zaten yüklü olduğu bilinen bir sürücüdeki sıfır günlük bir açığı istismar ederek BYOVD’nin ötesine geçmektir,” dedi. “Saldırıyı mümkün olduğunca evrensel hale getirmek için, buradaki en belirgin hedef, işletim sisteminin zaten bir parçası olan yerleşik bir Windows sürücüsü olacaktır.”
BYOVD saldırılarının sorunu gürültülü olmaları ve Microsoft’un kötü amaçlı olduğu bilinen imzalı sürücüleri engellemeye devam etmesidir. Bu nedenle saldırganlar için ideal olan, hedeflenen bir sistemde halihazırda çalışan bir sürücüde, “living off the land” saldırısı olarak bilinen bir saldırı yoluyla, istismar edebilecekleri sıfır günlük bir kusur bulmaktır.
Kendi Savunmasız Sürücünüzü Getirin
Lazarus, BYOVD taktiklerini uygulayan tek saldırı grubu olmaktan çok uzak. Geçtiğimiz hafta, güvenlik firması Sophos, RansomHub grubunun – ve belki de diğerlerinin – EDRKillShifter kod adlı bir aracı, bir EDR aracının korumasını kaldırmak için yeterli ayrıcalıklar elde etmek amacıyla çeşitli farklı savunmasız, meşru sürücülerden birini yüklemek ve istismar etmek için kullandığını bildirdi.
Aralık 2022’de çok sayıda güvenlik firması, bilinen, istismar edilebilir güvenlik açıklarına sahip özel olarak oluşturulmuş veya güncel olmayan sürücülerin antivirüs – diğer adıyla uç nokta algılama ve yanıt – araçlarını devre dışı bırakmak için kullanıldığı saldırılarda artış görüldüğünü bildirdi.
Sophos, 2023’ün başlarında saldırganların, AuKill kod adını verdiği ticari olarak satılan bir aracı kullanarak enfekte olmuş sistemlere “hedef sisteme arka kapı veya fidye yazılımı yerleştirmeden önce EDR işlemlerini devre dışı bırakmak için Microsoft yardımcı programı Process Explorer’ın 16.32 sürümü tarafından kullanılan sürücünün eski bir sürümünü” yüklediğini bildirdi.
Sophos, aracın Medusa Locker fidye yazılımı ve LockBit fidye yazılımının dağıtımına yol açan saldırılarda kullanıldığını söyledi. Tüm bu saldırıların arkasında aynı fidye yazılımı grubu iştiraklerinin olup olmadığı açık değildi.