Tanınmış bir siber suç örgütü olan Lazarus Grubu, yakın zamanda kritik düzeyde bir sistem erişimi olan çekirdek ayrıcalıklarını elde etmek için Windows’taki sıfır gün güvenlik açığından yararlandı.
CVE-2024-21338 olarak tanımlanan bu güvenlik açığı, appid.Sys AppLocker sürücüsünde bulundu ve Avast Threat Labs’tan gelen bir raporun ardından Microsoft tarafından Şubat Yaması Salı güncellemesinde yama uygulandı.
Bu istismar, Lazarus Group’un, işletim sisteminin çekirdek belleğini manipüle etmek için temel bir yetenek olan çekirdek okuma/yazma temel yapısını oluşturmasına olanak sağladı.
Bu yetenek, FudModule rootkit’ini güncellemek, işlevselliğini ve gizliliğini geliştirmek için kullanıldı.
Rootkit artık Microsoft Defender, CrowdStrike Falcon ve HitmanPro’ya ait olanlar gibi Microsoft’un Korumalı İşlem Işığı (PPL) tarafından korunan işlemlere müdahale edebilecek tanıtıcı tablo girişlerini değiştirmek için yeni teknikler içeriyor.
Kötü Amaçlı Yazılım analizi, SOC veya Olay Müdahale ekibinden misiniz? Artık kötü amaçlı yazılım dosyasını, ağı, modülü ve kayıt defteri etkinliğini şu şekilde analiz edebilirsiniz: ANY.RUN kötü amaçlı yazılım korumalı alanıve Tehdit İstihbaratı Araması bu, işletim sistemiyle doğrudan tarayıcıdan etkileşim kurmanıza olanak tanır.
BYOVD’nin ötesinde:
Bir bilgisayar sisteminin derinlemesine kontrolünü ele geçirmeye çalışan bilgisayar korsanlarının nihai hedefi, yönetici erişiminden işletim sisteminin çekirdeği olan çekirdek erişimine geçmektir.
Bunu yapmanın gelişmiş yollarından biri, bilgisayarda önceden yüklü olan bir sürücüde, yazılım üreticisinin bilmediği bir güvenlik açığı olan sıfır gün güvenlik açığını bulup kullanmaktır.
Bu diğer yöntemlere göre daha zordur çünkü sistemle birlikte daha az sürücü gelir ve bunlar genellikle saldırılara karşı daha iyi korunur.
Tanınmış bir hack grubu olan Lazarus Group, fark edilmesi daha zor olduğu için bu yöntemi seçti.
Saldırılarıyla meşhurdurlar, bu yüzden yakalanmamak için sık sık yöntemlerini değiştirmek zorunda kalırlar. Yerleşik bir sürücüde sıfır gün kullanarak, yeni bir yönteme geçmeden daha uzun süre gizli kalmayı umuyorlardı.
CVE-2024-21338, Windows sürücüsünde bulunan güvenlik açığının adıdır. Bilgisayar korsanları için iyi bir hedefti çünkü saldırı için kullanımı kolaydı ve sistemin bir parçasıydı, dolayısıyla tespit edilebilecek yeni bir şey eklemelerine gerek yoktu.
Microsoft o zamandan beri bu sorunu çözerek Lazarus Group’un bu yöntemi tekrar kullanmasını zorlaştırdı. Eski saldırılara geri dönmeleri veya yararlanabilecekleri yeni bir sıfır gün güvenlik açığı bulmaları gerekebilir.
FudModule rootkit’i
Avast’ın güncellenmiş FudModule kök kiti üzerinde yaptığı tersine mühendislik, hem yeni hem de güncellenmiş kök kiti tekniklerini ortaya çıkardı; bu da grubun yeteneklerinde önemli bir ilerleme olduğunu gösteriyor.
Lazarus’un cephaneliğindeki karmaşık bir araç olan FudModule rootkit, gizliliğini ve işlevselliğini geliştirmek için aktif olarak geliştirildi.
Grup daha önce çekirdek düzeyinde erişim elde etmek için Dell donanım sürücüsü güvenlik açığını (CVE-2021-21551) kullanan Kendi Savunmasız Sürücünüzü Getirin (BYOVD) tekniğinden yararlanıyordu.
Ancak Avast’ın son bulguları, Lazarus’un Windows AppLocker sürücüsündeki (appid.sys) CVE-2024-21338 olarak izlenen yeni bir sıfır gün güvenlik açığından yararlanarak temel okuma/yazma çekirdeği oluşturduğunu gösteriyor.
Lazarus Grubunun sıfır gün güvenlik açığından yararlanma yaklaşımı, üçüncü taraf sürücülerdeki bilinen güvenlik açıklarından yararlanmayı içeren BYOVD (Kendi Savunmasız Sürücünüzü Getirin) tekniklerini kullanma konusundaki önceki yöntemlerinden bir ayrılığa işaret ediyor.
Bunun yerine, daha zorlu ama daha gizli bir yöntem olan yerleşik bir Windows sürücüsünü hedef aldılar.
CVE-2024-21338
CVE-2024-21338 güvenlik açığının istismar edilmesi nispeten kolaydır. Appid.sys sürücüsünde, yürütülebilir bir dosyanın mükemmel karmasını hesaplayan bir IOCTL (Giriş ve Çıkış Kontrolü) dağıtıcısı içerir.
Saldırganlar, SMEP (Denetleyici Modu Yürütme Engelleme) ve kCFG (Çekirdek Kontrol Akış Koruması) gibi belirli güvenlik önlemlerini atlayan çekirdek işlev işaretçileri sağlayarak bu durumdan yararlanabilir.
Lazarus tarafından oluşturulan istismar, mevcut iş parçacığının ÖncekiMode’unu manipüle ederek çekirdek modu kontrollerini atlamalarına ve isteğe bağlı çekirdek belleği okumalarına veya yazmalarına olanak sağladı.
Lazarus Hackerların Sömürü Tekniği
Lazarus Group’un hackleme yöntemi, bir açıktan yararlanma ve rootkit kombinasyonu dahil olmak üzere araçlarının kurulumuyla başlıyor. İlk olarak, saldırı için gereken belirli Windows işlevlerini kullanabildiklerinden emin olurlar.
Ayrıca bilgisayarda herhangi bir anti-hack önleminin etkin olup olmadığını ve saldırılarını buna göre ayarlamak için hangi Windows sürümünün çalıştığını da kontrol ederler. Saldırılarının farklı bilgisayarlarda sorunsuz bir şekilde çalışmasını sağlamak için küçük sürüm farklılıklarını bile göz önünde bulunduruyorlar.
Saldırı için ihtiyaç duydukları bilgiyi elde etmek amacıyla, bilgisayarı kandırarak Windows sisteminin bazı önemli bölümlerinin konumlarını kendilerine veriyorlar.
Bunu, hassas hiçbir şeyi açığa çıkarmayacak şekilde sistemden bilgi isteyerek yapıyorlar, ancak ihtiyaç duydukları şeyi elde etmek için bu bilgiyi istismar ediyorlar.
Ana saldırılarını kullanabilmeleri için, eğer halihazırda çalışmıyorsa, bilgisayarın belirli bir Windows bileşenini yüklemesini sağlamaları gerekebilir.
Bu dolambaçlı geçişi özel bir tür olayı günlüğe kaydederek yaparlar. Bu bileşen çalışmaya başladıktan sonra gerekli erişimi elde etmek için bilgisayarın temel hizmetlerinin bir parçası gibi davranırlar.
Saldırıları, bilgisayara normalde yasak olan yerlere veri yazmak gibi, yapmaması gereken bir şeyi yapması için onu kandıran özel hazırlanmış bir istek göndermeyi içeriyor.
Bu, güvenlik kontrollerini atlamak için sistem belleğinin küçük bir bölümünü bozarak yapılır ve sistemin en derin düzeyinde kontrolü ele geçirmesine olanak tanır.
Yalnızca başarılı olursa mümkün olabilecek bir şeyi yapmaya çalışarak, saldırılarının işe yarayıp yaramadığını kontrol etmeye dikkat ediyorlar. İlk seferde işe yaramazsa, Windows’un daha yeni sürümleri biraz farklı bir istek beklediğinden, küçük bir ayarlamayla tekrar denerler.
Bu ayrıntılı planlama ve ayarlamalar, Lazarus Grubu gibi sofistike ve kararlı bilgisayar korsanlarının engellere rağmen bilgisayar sistemlerinden yararlanmanın yollarını nasıl bulduğunu gösteriyor.
Microsoft Yaması
Bu sıfır günün keşfi ve ardından Microsoft tarafından yama uygulanması, Lazarus Group’un operasyonlarını sekteye uğratıyor ve onları yöneticiden çekirdeğe yönelik sömürü için yeni yöntemler bulmaya veya eski tekniklere geri dönmeye zorluyor.
Microsoft tarafından eklenen yama, kullanıcı modu tarafından başlatılan IOCTL’lerin rastgele geri aramaları tetiklemesini önleyerek güvenlik açığını kapatıyor.
Sonuç olarak, Lazarus Grubunun Windows sıfır gün CVE-2024-21338’i kullanması, onların gelişmiş yeteneklerini ve siber güvenliğe yönelik sürekli tehdit oluşturduklarını göstermektedir.
Olay, sağlam güvenlik önlemlerinin önemini ve bu tür karmaşık saldırılara karşı koruma sağlamak için güvenlik açıklarına zamanında yama uygulanması ihtiyacını vurguluyor.
Ağınız saldırı altında mı?: Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar da dahil olmak üzere son derece zararlı, hasara yol açabilecek ve ağınıza zarar verebilecek kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması.