Lazarus tehdit grubu, çekirdek düzeyinde okuma/yazma temel yapısı oluşturmak için Windows Çekirdek Ayrıcalık Yükseltmesi ile ilişkili bir Microsoft güvenlik açığından yararlanıyor.
Appid.sys AppLocker sürücüsünde bulunan bu güvenlik açığı daha önce bilinmiyordu.
Bu güvenlik açığı CVE-2024-21338 ile atanmıştır ve Microsoft tarafından Şubat ayı yamasında giderilmiştir.
Tehdit aktörleri, kurulduktan sonra FudModule kök kitinin yeni sürümünde doğrudan çekirdek nesne manipülasyonu gerçekleştirebilir. Tablo girişi manipülasyon tekniklerini yöneten rootkit’te büyük bir ilerleme kaydedildi.
Lazarus Hackerları Windows’u 0 Günde Sömürdü
Avast raporuna göre tehdit aktörleri daha önce gürültülü bir yöntem olan yöneticiden çekirdeğe ilkel oluşturmak için BYOVD (Kendi Savunmasız Sürücünü Getir) tekniklerini kullanıyordu.
Ancak görünen o ki bu yeni sıfır gün kullanımı, çekirdek seviyesinde okuma/yazma temelleri oluşturmanın yeni bir yolunu açmış gibi görünüyor.
Daha detaylı araştırıldığında bu sorunun teknik olarak Microsoft’un Windows Güvenliği konusunda uzun süredir bıraktığı ince çizgiden kaynaklandığı ortaya çıktı.
Microsoft, “yöneticiden çekirdeğe güvenlik sınırı olmadığını” belirterek, yöneticiden çekirdeğe yönelik güvenlik açıklarını düzeltme hakkını hâlâ elinde tutuyor.
Bu aynı zamanda yönetici düzeyinde ayrıcalıklara sahip olan tehdit aktörlerinin hâlâ Windows çekirdeğinden yararlanma erişimine sahip olduğu anlamına gelir. Burası saldırganların oynayabileceği açık bir alan olduğundan Çekirdeğe erişmek için güvenlik açıklarından mümkün olan her şekilde yararlanmaya çalışırlar.
Çekirdek düzeyinde erişim sağlandıktan sonra tehdit aktörleri, yazılımın bozulması, enfeksiyon göstergelerinin gizlenmesi, çekirdek modu telemetrisinin devre dışı bırakılması ve çok daha fazlası dahil olmak üzere her türlü kötü niyetli etkinliği gerçekleştirebilir.
Lazarus ve Yöneticiden Çekirdeğe Açılan Üç Tür Açık
Her biri saldırı zorluğu ile gizlilik arasında bir denge sağlayan, Yöneticiden çekirdeğe yönelik istismarların üç kategorisi keşfedildi.
- N-Gün BYOVD İstismarları (saldırganın güvenlik açığı bulunan bir sürücüyü dosya sistemine bırakmasını ve çekirdeğe yüklemesini gerektirir)
- Sıfır gün istismarları (saldırganın sıfır gün güvenlik açığını keşfetmesini gerektirir) ve
- BYOVD’nin ötesinde (Lazarus tehdit grubu tarafından çekirdeği istismar etmek için kullanılır).
Dahası, Lazarus grubu üçüncü çekirdek istismarı yöntemini bir gizlilik aracı olarak ve Windows sistemlerinde yönetici-çekirdek sınırını aşmak için seçti.
Ayrıca bu yaklaşım, tehdit aktörlerinin daha uzun süre tespit edilmemesini sağlayan başka bir güvenlik açığıyla takasın en aza indirilmesini de sunuyor.
Sömürü
Tehdit grubunun istismarı, gerekli tüm Windows API işlevlerini dinamik olarak çözerek hem istismar hem de rootkit için tek seferlik bir kurulumun gerçekleştirilmesiyle başlar. Bundan sonra, istismar, sürümün bu rootkit’i destekleyip desteklemediğini görmek için yapı numarasını inceler.
Destekleniyorsa, sabit kodlanmış sabitler yapı sürümüne göre uyarlanır ve bu bazen yapı revizyonunun güncellenmesine yol açabilir.
Bu, istismarın yürütme sırasında herhangi bir kesintiye uğramaması ve çok çeşitli hedef makineleri desteklemesi için yapılır.
FudModule Rootkit, kullanıcı modu iş parçacığını etkileyen temel öğeleri okuma/yazma yeteneğine sahip ve sistem çağrılarını kullanarak isteğe bağlı çekirdek belleğini okuyup yazabilen, yalnızca veri içeren bir rootkittir.
Tamamen kullanıcı alanından yürütülür ve çekirdeğe müdahale, rootkit’in ayrıcalıklarıyla gerçekleştirilir.
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, hasara yol açabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan