Siber güvenlik araştırmacıları, saldırganlara Windows ana bilgisayarlarında yükseltilmiş izinlerle rastgele kod çalıştırma yeteneği veren bir çekirdek sürücü bileşenini gizlice boşaltırken reklamları ve kötü amaçlı web sitelerini engellediğini iddia eden bir reklam yazılımı modülünü ortaya çıkardı.
ESET’in yeni bulgularına göre, HotPage adı verilen kötü amaçlı yazılım, adını aynı adı taşıyan yükleyiciden (“HotPage.exe”) alıyor.
ESET araştırmacısı Romain Dumont, bugün yayınlanan teknik analizinde, yükleyicinin “uzaktaki işlemlere kod enjekte edebilen bir sürücü ve tarayıcıların ağ trafiğini yakalayıp bozabilen iki kütüphane dağıttığını” söyledi.
“Kötü amaçlı yazılım, istenen sayfanın içeriğini değiştirebilir veya değiştirebilir, kullanıcıyı başka bir sayfaya yönlendirebilir veya belirli koşullara bağlı olarak yeni bir sekmede yeni bir sayfa açabilir.”
Tarayıcı trafiğini kesme ve filtreleme yeteneklerini kullanarak oyunla ilgili reklamları görüntülemenin yanı sıra, sistem bilgilerini toplayıp Hubei Dunwang Network Technology Co., Ltd (湖北盾网网络科技有限公司) adlı Çinli bir şirketle ilişkili uzak bir sunucuya aktarmak üzere tasarlanmıştır.
Bu, birincil amacı tarayıcı uygulamalarına kütüphaneleri enjekte etmek ve bunların yürütme akışını değiştirerek erişilen URL’yi değiştirmek veya yeni web tarayıcısı örneğinin ana sayfasının bir yapılandırmada belirtilen belirli bir URL’ye yönlendirilmesini sağlamak olan bir sürücü aracılığıyla gerçekleştirilir.
Hepsi bu kadar değil. Sürücü için herhangi bir erişim kontrol listesinin (ACL) olmaması, ayrıcalıklı olmayan bir hesaba sahip bir saldırganın bunu kullanarak yükseltilmiş ayrıcalıklar elde edebileceği ve kodu NT AUTHORITY\System hesabı olarak çalıştırabileceği anlamına geliyordu.
“Bu çekirdek bileşeni, istemeden de olsa diğer tehditlerin Windows işletim sisteminde mevcut olan en yüksek ayrıcalık düzeyinde kod çalıştırması için kapıyı açık bırakıyor: Sistem hesabı,” dedi Dumont. “Bu çekirdek bileşenine yönelik uygunsuz erişim kısıtlamaları nedeniyle, herhangi bir işlem onunla iletişim kurabilir ve kod enjeksiyonu yeteneğinden yararlanarak korumasız işlemleri hedef alabilir.”
Yükleyicinin tam olarak nasıl dağıtıldığı bilinmemekle birlikte, Slovak siber güvenlik firmasının topladığı kanıtlar, bunun internet kafeler için reklamları durdurarak kullanıcıların internette gezinme deneyimini iyileştirmeyi amaçlayan bir güvenlik çözümü olarak tanıtıldığını gösteriyor.
Gömülü sürücü, Microsoft tarafından imzalanmış olması nedeniyle dikkat çekicidir. Çinli şirketin Microsoft’un sürücü kodu imzalama gerekliliklerini yerine getirdiğine ve Genişletilmiş Doğrulama (EV) sertifikası almayı başardığına inanılıyor. 1 Mayıs 2024 itibarıyla Windows Server Kataloğu’ndan kaldırıldı.
Windows işletim sistemi tarafından yüklenebilmesi için çekirdek modu sürücülerinin dijital olarak imzalanması gerekiyordu. Bu, Microsoft’un güvenlik kontrollerini altüst etmek ve sistem süreçlerine müdahale etmek için silah olarak kullanılabilecek kötü amaçlı sürücülere karşı koruma sağlamak amacıyla oluşturduğu önemli bir savunma katmanıydı.
Bununla birlikte Cisco Talos, Temmuz ayında yerel Çince konuşan tehdit aktörlerinin, çekirdek modu sürücülerinde imzaları taklit etmek için Microsoft Windows politikasındaki bir açığı nasıl kullandıklarını ortaya çıkardı.
Dumont, “Bu oldukça sıradan görünümlü kötü amaçlı yazılımın analizi, reklam yazılımı geliştiricilerinin hedeflerine ulaşmak için hâlâ fazladan çaba harcamaya istekli olduklarını bir kez daha kanıtladı.” dedi.
“Sadece bu değil, süreçleri manipüle etmek için geniş bir teknik setine sahip bir çekirdek bileşeni geliştirdiler, ayrıca sürücü bileşenleri için bir kod imzalama sertifikası almak üzere Microsoft tarafından uygulanan gereklilikleri de yerine getirdiler.”