Güvenlik araştırmacıları, Microsoft’un en gelişmiş çekirdek korumalarının etkin olduğu sistemlerde bile, saldırganların kötü amaçlı işlemleri Windows Görev Yöneticisi’nden ve sistem izleme araçlarından gizlemesine olanak tanıyan karmaşık bir teknik belirlediler.
Bu atlama, bütünlük kontrollerinin kurcalamayı tespit edebilmesinden önce temel veri yapılarını değiştirmek için meşru Windows API’lerinden yararlanır ve hem PatchGuard’ı hem de Hiper Yönetici Korumalı Kod Bütünlüğünü (HVCI) atlatır.
Teknik, sürecin sonlandırılması sırasında kritik bir zamanlama penceresinden yararlanır. Bir işlemden çıkıldığında, Windows, her bir EPROCESS nesnesine gömülü olan ActiveProcessLinks adı verilen bir yapı olan, tüm aktif süreçleri izleyen çift bağlantılı listelerin bütünlüğünü doğrular.
Geleneksel olarak rootkit’ler, bu listelerden bağlantılarını kaldırarak gizli işlemlere sahiptir. Ancak işlem sona erdiğinde çekirdeğin PspProcessDelete işlevi, bozuk liste yapısını tespit eden ve bir KERNEL_SECURITY_CHECK_FAILURE (0x139 hata kontrolü) tetikleyen doğrulama kontrolleri gerçekleştirir, sistemi anında çökertir ve kurcalama girişimini açığa çıkarır.
Yeni bypass, yasal izleme amaçları için tasarlanmış belgelenmiş bir Microsoft API’si olan PsSetCreateProcessNotifyRoutineEx’i kullanarak bu algılamayı tamamen ortadan kaldırır.
Kaydedildiğinde bu geri arama, sonlandırma sürecinin EPROCESS yapısına erişim de dahil olmak üzere süreç oluşturma ve sonlandırma olaylarıyla ilgili bildirim alır.
Araştırmacılar, bu geri çağırma içindeki bozuk LIST_ENTRY yapılarını onararak bağlantılı listeleri, PspProcessDelete’in doğrulaması çalıştırılmadan önce geçerli bir mikrosaniye durumuna geri yükleyebileceklerini keşfettiler.
Çekirdek Düzeltme Eki Korumasına Genel Bakış
Çekirdeğin bütünlük kontrolleri yürütüldüğünde yapılar tamamen meşru görünür ve sürecin herhangi bir güvenlik ihlalini tetiklemeden temiz bir şekilde sonlandırılmasına olanak tanır.
Kötü amaçlı yazılım çekirdeği tehlikeye atsa ve VTL0’da tam Ring-0 erişimi elde etse bile, LsaIso’daki kimlik bilgilerini atamaz çünkü bu kimlik bilgileri fiziksel olarak VTL1’in yalıtılmış bellek alanında mevcuttur.
Araştırmacılar, “Çözüm son derece basit ve tamamen Microsoft’un kendi API tasarımı dahilinde” diyor. “Kod değişikliği yok, donanım korsanlığı yok, hipervizör kullanımı yok, sadece kesin zamanlama ve çekirdeğin neyi doğruladığına dair bilgi.”
Bunun tehdit aktörleri açısından sonuçları önemlidir. Süreç gizleme, rootkit’ler, gelişmiş kalıcı tehditler ve hile karşıtı saldırılardan kaçınma için temel bir teknik olmaya devam ediyor.
Bir süreci Görev Yöneticisi, Süreç Korsanı ve güvenlik izleme araçları için görünmez hale getirmek, saldırganların süreç numaralandırmasına dayanan uç nokta güvenlik ürünleri tarafından tespit edilmesini önlerken kalıcılık elde etmelerini sağlar.
Ancak pratik dağıtım engelleri hala önemli. Bu teknik, geleneksel olarak modern Windows sistemlerinde elde edilmesi en zor erişim düzeylerinden biri olan çekirdek modunda kod yürütülmesini gerektirir.
Daha da önemlisi, üretim sistemlerinde saldırganın ya meşru bir kod imzalama sertifikasına sahip olması, mevcut imzalı sürücüyü tehlikeye atması ya da sistemde zaten mevcut olan savunmasız bir sürücüdeki güvenlik açığından yararlanması gerekir.
Microsoft Kod Bütünlüğü ilkeleri, imzasız veya güvenilmeyen sürücülerin yüklenmesini engelleyerek önemli bir kapı oluşturur.
Azaltmalar
Araştırmacılar HVCI’nin kendisinin bu tekniği engellemediğini vurguluyor. HVCI’nin korumaları, hipervizör tarafından uygulanan ikinci bir bellek koruması katmanı olan Genişletilmiş Sayfa Tabloları (EPT) aracılığıyla çekirdek kod sayfalarında değişiklik yapılmasını önlemeye odaklanır.
Baypas tamamen belgelenmiş Windows API kullanılarak yazılabilir veriler üzerinde çalıştığından, HVCI savunma çevresini tamamen atlar.
Etki azaltma stratejileri sınırlı kalmaktadır. Güvenlik ekipleri, sürücü kodu bütünlüğünü izlemeye, sürücü yükünü denetlemeye ve imzasız sürücü yüklerini tespit etmeye odaklanmalıdır.
Özellikle sonlandırma sırasında EPROCESS yapılarını manipüle eden şüpheli süreç geri aramalarının davranışsal tespiti, aktif istismarı tanımlayabilir.
Ek olarak, beklenmeyen süreç sonlandırma dizilerinin veya zamanlama anormalliklerinin izlenmesi, bu tekniğin uygulandığı örnekleri ortaya çıkarabilir.
Araştırma, Windows güvenliğinde büyüyen bir gerçeğin altını çiziyor: Microsoft, hipervizör destekli korumalar yoluyla kod yürütme yollarını sağlamlaştırırken, saldırganlar, savunulması çok daha zor bir yüzey alanı olan meşru API’ler içindeki veri yapısı manipülasyonuna giderek daha fazla yöneliyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.