Microsoft’un Metin Hizmetleri Çerçevesi’ni (TSF) sömüren yeni bir kalıcılık mekanizması, Praetorian Labs’daki araştırmacılar tarafından ortaya çıkarıldı ve uzlaşmış sistemlere uzun vadeli erişimi sürdürmek için sofistike bir yöntem ortaya koydu.
İlk dağıtım için idari ayrıcalıklar gerektirirken, bu teknik, metin giriş işlemesi için tasarlanmış Aborijin sistem bileşenleri aracılığıyla düzinelerce kritik Windows işlemlerinde gizli kod yürütülmesini sağlar.
TSF bazlı kalıcılık mekanizmasının anatomisi
Windows 2000’den beri temel bir Windows bileşeni olan Microsoft Text Services Framework, el yazısı tanıma ve çok dilli destek gibi gelişmiş metin giriş özelliklerini kolaylaştırır.
Araştırmacılar, kötü niyetli aktörlerin Rogue Com bileşenlerini belirli kayıt defteri girişleri aracılığıyla kaydederek çerçevenin eklenti mimarisini silahlandırabileceğini keşfettiler.
Anahtar Kayıt Defteri Değişiklikleri aşağıda gerçekleşir:
- HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Ctf \ TIP {GUID}
- Hkey_classes_root \ clsid {guid} \ InprocServer32
Bu değişiklikler, TSF’ye bağlı tüm işlemlere yüklenen ITFTextInputProcessor arayüzünü uygulayan kötü niyetli bir DLL’ye işaret eder.
Geleneksel kalıcılık yöntemlerinden farklı olarak, TSF enjeksiyonu bireysel süreç hedeflemesi yerine mimari düzeyde meydana gelir.
Süreç hedefleme ve operasyonel etki
Çerçevenin sistem çapında entegrasyonu, kötü niyetli yüklerin otomatik olarak yüklenmesi anlamına gelir:
- Web Tarayıcılar (Chrome, Edge, Firefox)
- Sistem Yardımcı Programları (Explorer.exe, TaskMgr.exe)
- Verimlilik Uygulamaları
Bu geniş kapsam, saldırganlar için benzersiz avantajlar yaratır.
Web tarayıcıları, ağ bağlantıları ve bellek yönetimi kalıpları nedeniyle belirli bir değer sunar – güvenlik ekipleri genellikle kötü niyetli tarayıcı etkinliğini meşru JavaScript yürütme ve webSsembly işlemlerinden ayırt etmek için mücadele eder.
Teorik olarak basit olsa da, pratik konuşlandırma dikkatli mühendislik gerektirir:
- Saldırı DLL, bellek korumalarını tetiklemeden çok işlemli enjeksiyonu yapmalıdır
- Kod Yürütme Dllmain’deki yükleyici kilit kısıtlamalarını atlamalı
- Yükler, meşru metin giriş işlevlerini bozmadan kaçınmalıdır
Konsept Kanıtı kodu, mesaj kutusu açılır pencereleri aracılığıyla temel işlevselliği gösterir, ancak operasyonel araçlar, iş parçacığı kaçırma veya bellek stomping gibi sofistike sürece özgü davranışlar uygulayacaktır.
Tespit zorlukları ve azaltma stratejileri
Mevcut güvenlik araçları, TSF tabanlı kalıcılığı tanımlayan önemli engellerle karşı karşıya:
- Düşük yaygınlık: Diğer COM bileşenlerine kıyasla çok az meşru TSF eklentisi var
- Süreç belirsizliği: DLLS aynı anda birden çok işleme yükleniyor
- İmza boşlukları: Yaygın çerçeveler kötü niyetli TSF kayıtlarını algılamıyor
Etkili tespit gerekir:
Monitor HKLM\SOFTWARE\Microsoft\CTF\TIP\ for unexpected GUIDs
Compare InProcServer32 paths against known good binaries
Flag unsigned DLLs in TSF-loaded processesKurumsal savunucular, otomatik kayıt defteri denetimi aracılığıyla kayıtlı tüm TSF eklentilerinin envanterine öncelik vermelidir.
Microsoft henüz potansiyel çerçeve sertleşmesi hakkında yorum yapmamıştır, ancak mevcut hafifletmeler idari ayrıcalık kısıtlaması ve com sertleştirme politikalarına odaklanmaktadır.
Bu keşif, saldırganların gizli operasyonlar için periferik sistem bileşenlerinden artan sömürünün altını çiziyor.
Geleneksel kalıcılık yöntemleri için uç nokta tespiti geliştikçe, teknikler kaldırma:
- Erişilebilirlik özellikleri
- Giriş İşlemcileri
- Arka plan görev altyapıları
TSF Case, kayıt defteri manipülasyonu ve com kaçırma ile birleştirildiğinde, onlarca yıllık Windows bileşenlerinin bile modern saldırı operasyonları için nasıl yeniden tasarlanabileceğini göstermektedir.
Kuruluşlar, TSF gibi özel alt sistemleri içerecek şekilde izlemelerini geleneksel Autostart konumlarının ötesine genişletmelidir.
HKLM kayıtlı COM nesnelerinin düzenli denetimleri ve sistem DLL’lerinin temel karşılaştırmaları bu gelişen tehdit manzarasına karşı kritik savunma katmanları sağlar.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free