Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Yönetişim ve Risk Yönetimi
Microsoft, Şubat ayında Kuzey Kore APT’ye Çekirdek Düzeyinde Erişim Sağlayan Hatayı Düzeltti
Sayın Mihir (MihirBagwe) •
29 Şubat 2024
Kuzey Kore’nin Lazarus bilgisayar korsanları, çekirdek düzeyinde erişim elde etmek ve grubun kendi savunmasız sürücünüzü getirme tekniklerini tespit edebilecek güvenlik araçlarını kapatmak için bir Windows AppLocker sürücüsünün sıfırıncı gününü istismar etti. Microsoft, hatayı Şubat ayı yama dökümünde düzeltti.
Ayrıca bakınız: Gartner 2023 Öngörüsü: İşletmeler Tehdit Yönetiminden Maruziyet Yönetimine Genişlemeli
Siber güvenlik firması Avast’ın araştırmacıları Çarşamba günü, Kuzey Koreli Lazarus Grubu tarafından yönetilen karmaşık bir yöneticiden çekirdeğe yönelik istismarın ayrıntılarını açıkladı. Bu istismar, daha önce bilinmeyen bir sıfır gün güvenlik açığını hedef alıyordu. appid.sys AppLocker sürücüsü, bilgisayarda hangi uygulamaların çalışabileceğini denetleyen ilkelere ve bu kurallara ne kadar sıkı uyulması gerektiğini belirleyen farklı uygulama modlarına sahip, Windows güvenliğinin önemli bir bileşenidir.
appid.sys Bilgisayarın çekirdeğinde bir güvenlik görevlisi gibi davranarak bu kuralları değerlendirip uygular. Microsoft, “Hizmet çalışmıyorsa politikalar uygulanmaz” diye açıkladı.
Avast’ın raporu, Microsoft’un Şubat Yaması Salı güncellemesinde CVE-2024-21338 olarak tanımlanan bu güvenlik açığını hızla gidermesini sağladı. Microsoft birkaç ayrıntı paylaştı ancak “Bu güvenlik açığından başarıyla yararlanan bir saldırgan, sistem ayrıcalıklarını ele geçirebilir” dedi.
Avast, sıfır gün hatasının Windows AppLocker sürücüsünün IOCTL dağıtıcısında bulunduğunu söyledi. Lazarus bu dağıtıcının esnekliğinden yararlanarak bilgisayar korsanlarının çekirdeği kandırarak kendi talimatlarını takip etmelerine ve önemli işlevleri kontrol etmelerine olanak sağladı.
Microsoft, CVE’yi “Gerekli Ayrıcalıklar: Düşük” olarak sınıflandırmasına rağmen, yerel hizmet hesabının kullanılması nedeniyle bu açıktan yararlanmanın etkisi daha yüksekti. Güvenlik açığı Windows 10’u etkiledi [1703 onwards] ve Win11 [up to 23H2]. Microsoft’un yaması, kullanıcı modu tarafından başlatılan IOCTL’leri önlemeyi ve keyfi geri aramalara karşı koruma sağlamayı amaçlıyordu.
Gelişmiş kalıcı tehdit faaliyetleriyle bilinen Lazarus Group, bu istismar yoluyla bir çekirdek okuma/yazma primitifi oluşturmayı hedefledi. Bu ilkel, bilgisayar korsanlarının daha önce ESET ve AhnLab tarafından analiz edilen kötü amaçlı FudModule kök kitini geliştirmelerine olanak tanıdı. Rootkit o sırada meşru imzalı bir Dell sürücüsünü kötüye kullanıyordu.
Yöneticiden çekirdeğe yönelik bu istismar, tamamen kullanıcı alanından yürütülen, yalnızca veri içeren bir rootkit olan FudModule rootkit’i için bir ağ geçidi görevi gördü. FudModule, çeşitli çekirdek güvenlik mekanizmalarını bozan doğrudan çekirdek nesnesi manipülasyon tekniklerini kullandı. Avast’ın analizi, dördü yeni, üçü güncellenmiş ve ikisi önceki varyantlardan kaldırılmış olmak üzere dokuz rootkit tekniğini vurguladı.
Önceki daha gürültülü, kendi savunmasız sürücünüzü getirin istismar tekniklerinden farklı olarak Lazarus, daha gizli bir yaklaşım için sıfır gün güvenlik açığından yararlandı. Bu istismar, Microsoft Defender, CrowdStrike Falcon ve HitmanPro ile ilişkili olanlar da dahil olmak üzere, Korumalı İşlem Işık tarafından korunan işlemleri askıya almak için bir tanıtıcı tablosu girişinin manipüle edilmesini içeriyordu. Bu ilerleme, sistem güvenliği için kritik öneme sahip süreçleri hedefleyerek rootkit’in gizlilik yeteneklerini geliştirir, saldırganın tespit edilmeden çalışmasına ve potansiyel olarak güvenlik önlemlerini değiştirmesine veya devre dışı bırakmasına olanak tanır.
Avast ayrıca Lazarus’a atfedilen yeni bir uzaktan erişim Truva Atı keşfetti; bu, karmaşık bir enfeksiyon zincirine işaret ediyor ve cephaneliklerine yeni bir araç eklenmesini öneriyor. Yeni bir RAT’ın keşfi, Lazarus’un yeteneklerini genişlettiğini, potansiyel olarak ele geçirilen sistemler üzerinde daha kapsamlı kontrole olanak sağladığını ve uzun süreli ve gizli gözetlemeyi kolaylaştırdığını gösteriyor. Avast, RAT’ın teknik ayrıntılarının önümüzdeki günlerde açıklanacağını söyledi.
Araştırmacılar ayrıca derlenmiş kodda düz metin hata ayıklama baskıları buldular; kod İngilizce yazılmış olmasına rağmen olası bir Kore kökenine işaret eden dilsel anormallikleri ortaya çıkardılar. Güvenlik yazılımı için “aşı” gibi terimlerin kullanılması ve ÖncekiMode için “pvmode” kısaltmasının kullanılması da tehdit grubunun kimliğine işaret ediyordu.
Avast, “Kendine özgü taktikleri ve teknikleri şu ana kadar iyi bilinmesine rağmen, yine de zaman zaman beklenmedik seviyedeki teknik gelişmişlikleriyle bizi şaşırtmayı başarıyorlar” dedi. “FudModule rootkit’i, Lazarus’un cephaneliğinde bulundurduğu en karmaşık araçlardan birini temsil eden en son örnek olarak hizmet ediyor.”
Avast, Lazarus’un hem gizlilik hem de işlevsellikteki iyileştirmelere odaklanarak bu rootkit’i aktif olarak geliştirmeye devam etmesini bekliyor. Avast, “Yöneticiden çekirdeğe sıfır gün artık yanmış olduğundan, Lazarus önemli bir zorlukla karşı karşıya. Ya yeni bir sıfır gün açığı keşfedebilirler ya da eski BYOVD tekniklerine geri dönebilirler” dedi.