Bilgisayar korsanları, Windows Yazdırma Biriktiricisi güvenlik açıklarını kötüye kullanıyor çünkü Windows Yazdırma Biriktiricisi yükseltilmiş SİSTEM ayrıcalıklarıyla çalışıyor ve ayrıcalık yükseltmeye izin veriyor.
Ayrıca, bunun kullanılması uzaktan kod yürütülmesine ve kimlik bilgileri hırsızlığına olanak tanır.
Microsoft, en az 2020’den bu yana CVE-2022-38028 PrintSpooler güvenlik açığından yararlanarak ayrıcalıkları yükseltmek ve kimlik bilgilerini çalmak için GooseEgg adlı özel bir araç kullanan Rus tehdit aktörü Forest Blizzard’ı (diğer adıyla APT28, Sednit, Sofacy ve Fancy Bear) açığa çıkardı. .
Windows Yazdırma Biriktiricisi Güvenlik Açığı
Ukrayna, Avrupa ve Kuzey Amerika’da hükümet, eğitim ve ulaşım sektörlerini hedefleyen Forest Blizzard, uzaktan kod yürütme ve yatay hareket gibi uzlaşma sonrası faaliyetler için GooseEgg’den yararlanıyor.
Basit olmasına rağmen, GooseEgg’in yükseltilmiş süreçler üretme yeteneği, daha fazla kötü niyetli hedeflerin takip edilmesini sağlar.
Rusya’nın GRU istihbarat teşkilatına bağlı olan Forest Blizzard, diğer yıkıcı GRU gruplarından farklıdır.
Ücretsiz Web Semineri | WAAP/WAF ROI Analizinde Uzmanlaşma | Yerinizi Ayırın
Microsoft, ilk erişimi kazandıktan sonra Forest Blizzard’ın ayrıcalıkları yükseltmek için GooseEgg’i kullandığını ve genellikle bunu Execute.bat veya doit.bat gibi toplu komut dosyaları aracılığıyla dağıtarak kalıcılığı sağladığını söyledi.
GooseEgg, etkinlikleri gizlerken kötü amaçlı DLL’leri (genellikle “wayzgoose”) veya SİSTEM izinlerine sahip yürütülebilir dosyaları çalıştırmak için CVE-2022-38028’den yararlanır.
Yükleri hazırlamak için C:\ProgramData altındaki yazılım satıcılarını taklit ederek sürücü depolarını dizinlere kopyalar.
Bunun yanı sıra aşağıdaki listeden bir alt dizin adı seçilir: –
- Microsoft
- Adobe
- İletişim
- Intel
- Kaspersky Laboratuvarı
- Bitdefender
- ESET
- NVIDIA
- UbiSoft
- Buhar
GooseEgg’in komutları, istismar başarısının kontrol edilmesini, özel sürüm tanımlamayı ve ayrıcalık yükseltmeyi mümkün kılar; Forest Blizzard’ın kimlik bilgileri hırsızlığı şeklindeki nihai hedefini destekler ve tehlikeye atılmış hedeflere yüksek erişimi korur.
PrintSpooler’ı kullandıktan sonra GooseEgg, sahte bir protokol işleyicisini ve COM sunucusunu kaydetmek için kayıt defteri anahtarları oluşturur.
PrintSpooler’ı, RpcEndDocPrinter sırasında hileli protokolü çağırmak üzere yamalı kötü amaçlı bir MPDW-Constraints.js dosyasını yüklemeye yönlendirmek için C: sürücüsü sembolik bağlantısının yerini alır.
Bu, wayzgoose.dll kötü amaçlı yazılımını SİSTEM ayrıcalıklarıyla başlatır.
Bu DLL, yükseltilmiş izinlere sahip herhangi bir uygulamayı oluşturabilen basit bir başlatıcıdır. Tehdit aktörünün güvenliği ihlal edilmiş sistemlerde arka kapılar kurmasına, yatay hareket etmesine ve uzaktan kod yürütmesine olanak tanır.
Microsoft, bu karmaşık teknikleri detaylandırarak, Forest Blizzard’ın kod yürütmek ve ayrıcalıkları kötü niyetli bir şekilde yükseltmek için meşru yardımcı programları nasıl kötüye kullandığını ortaya koyuyor.
Öneriler
Aşağıda tüm önerilerden bahsettik: –
- Şirket içi kimlik bilgileri hırsızlığına genel bakışa göre kimlik bilgilerini sağlamlaştırın.
- Proaktif tehdit engelleme için EDR’yi blok modunda etkinleştirin.
- Hızlı yanıt için otomatik araştırmayı ve düzeltmeyi etkinleştirin.
- Güncel savunma için bulut tarafından sağlanan korumayı kullanın.
- LSASS kimlik bilgilerinin çalınmasını engelleyin.
- CVE-2021-34527 Yazdırma Biriktiricisinin kötüye kullanımını tespit edin.
- ProgramData’da şüpheli dosyaları arayın.
- Zamanlanmış görevleri oluşturan süreçleri tanımlayın.
- Kısıtlanmış JavaScript dosyalarını arayın.
- Kayıt defteri anahtarını ve değer oluşumunu izleyin.
- Özel protokol işleyici etkinliğini arayın.
IoC’ler
%20(1).webp)
Looking to Safeguard Your Company from Advanced Cyber Threats? Deploy TrustNet to Your Radar ASAP.