Windows sürücüleri güvenlik önlemlerini aşmak için kötüye kullanılabilir. Saldırganlar meşru sürücülerdeki güvenlik açıklarından yararlanabilir veya kötü amaçlı sürücüleri işletim sisteminin çekirdeğine yüklemek için çalınmış veya sahte dijital imzalar kullanabilir.
Bu sürücüler daha sonra güvenlik yazılımlarına müdahale ederek korumaları devre dışı bırakabilir ve saldırganların yetkisiz erişim elde etmesine olanak tanıyabilir.
Bu riskleri azaltmak için Microsoft, sürücü imza zorunluluğu ve onay imzalama gibi önlemler uyguladı; ancak saldırganlar bu güvenlik önlemlerini aşmanın yollarını bulmaya devam ediyor.
2022 yılından bu yana varlığını sürdüren Poortry ve Stonestop, çeşitli fidye yazılımı grupları tarafından güvenlik önlemlerini aşmak amacıyla kullanılıyor.
Genellikle VMProtect veya Themida gibi paketleyicilerle gizlenen kötü amaçlı çekirdek sürücüsü, yetkisiz erişim elde etmek için sürücü imzası zorlama atlatma gibi tekniklerden yararlanır.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN -14-day free trial
Microsoft’un kötüye kullanılan sertifikaları iptal etme çabalarına rağmen saldırganlar sahte imzalar veya sızdırılan sertifikalar kullanarak çözüm ürettiler.
Poortry’nin yaratıcıları, tespit edilmekten kaçınmak için sürücüyü sık sık değiştirerek ve imzalama sertifikalarını değiştirerek yüksek düzeyde uyarlanabilirlik gösterdiler ve bu da gelişmiş kalıcı tehditlerle mücadele için sağlam güvenlik önlemlerinin önemini vurguladı.
Sophos, güvenlik önlemlerini aşmak için çeşitli dijital sertifikalarla Poortry adlı kötü amaçlı aracı kullanan saldırganları tespit etti.
Tek bir saldırıda, tehdit aktörleri 30 saniye içinde farklı sertifikalara sahip birden fazla Poortry varyantını (“bopsoft” ve “Evangel Technology”) kullandılar; bu da muhtemelen imza tabanlı tespitten kaçınmak içindi.
“Sertifika ruleti” adı verilen bu taktik, saldırganların kalıcılık sağlama ve daha fazla kötü amaçlı faaliyet için Stonestop gibi ek araçlar dağıtma girişimini vurguluyor.
Poortry ve gelişmiş bir EDR temizleyicisi olan Stonestop, güvenlik savunmalarını devre dışı bırakmak için çok aşamalı bir yaklaşım kullanır; burada yükleyici Stonestop, aynı dizinde sürücü Poortry’yi kontrol eder ve DeviceIoControl aracılığıyla bir el sıkışma başlatır.
Poortry daha sonra çekirdek bildirim rutinlerini değiştirerek ve güvenlik sürücüleriyle ilişkili geri arama işlevlerini yamalayarak EDR ürünlerini devre dışı bırakır.
Ayrıca, yüklenen filtreleri işe yaramaz hale getirmek için sistemin cihaz yığınından belirli cihaz nesnelerini ayırır; bu da silicinin EDR yeteneklerini etkili bir şekilde bozmasına ve sonraki kötü amaçlı faaliyetlerin önünü açmasına olanak tanır.
EDR katili ilk olarak çekirdek modu bileşenine IOCTL istekleri göndererek güvenlikle ilgili süreçleri hedef alır.
Daha sonra, EXE veya DLL dosyaları gibi kritik EDR dosyalarını bulmak ve silmek için sabit kodlanmış yolların bir listesini kullanarak başka bir IOCTL isteği gönderir.
Kullanıcı modu bileşeni iki modda çalışabilir: dosyaları türe veya ada göre silmek, muhtemelen farklı EDR ürünlerini hedeflemede esneklik içindir. Sabit kodlu yollar ve çalışma modları muhtemelen belirli hedefe bağlı olarak değişir.
Başlangıçta uç nokta koruma bileşenlerini ayırmak için bir araç olan Poortry önemli ölçüde gelişti. Artık Sürücü İmza Doğrulamasını atlatmak için çalıntı kod imzalama sertifikalarını kötüye kullanıyor ve düşük seviyeli işletim sistemi işlevselliğini kontrol etmek için rootkit benzeri yetenekler sağlıyor.
Ayrıca güvenlik yazılımını diskten silerek fidye yazılımı dağıtımları için bir yol oluşturabilir. Bu, aracın giderek artan karmaşıklığını ve önemli zararlara yol açma potansiyelini vurgular.
Protect Your Business with Cynet Managed All-in-One Cybersecurity Platform – Try Free Trial