Güvenlik araştırmacıları, uç nokta algılama ve yanıt (EDR) sistemlerini geçmek için bellek içi PE yükleyicileri kullanan bir saldırı dalgası keşfettiler.
Bu olaylarda, tehdit aktörleri, kötü niyetli bağlantılar veya ekler aracılığıyla kurbanlara küçük bir indirici sunarlar.
İndirici yürütüldükten sonra, uzak bir sunucudan tam taşınabilir bir yürütülebilir (PE) dosyası getirir ve doğrudan güvenilir bir işlemin belleğine eşler.
Bu teknik, yükün diske dokunmadan çalışmasını sağlar, bu da geleneksel antivirüs ve EDR araçlarının saldırıyı algılamasını veya engellemesini son derece zorlaştırır.
Bellek içi PE yükleyicileri nasıl çalışır?
Bellek içi PE yükleyicileri, kodu tamamen bellekte indirmek ve yürütmek için meşru işletim sistemi işlevlerinden yararlanır.
İlk olarak, bir başlangıç saplaması, saldırganlar tarafından kontrol edilen bir URL’den kötü amaçlı yükü almak için Wininet veya benzeri API’leri kullanır.
Stub daha sonra koşu, EDR onaylı bir süreç içinde bir sanal bellek bölgesi tahsis eder ve indirilen exe’nin ham baytları üzerinden kopyalar.
Ardından, PE başlıklarını ayrıştırır, her bölümü uygun sanal adresiyle eşler ve kodun doğru çalışabilmesi için içe aktarma ve yer değiştirmeleri düzeltir.
Her bölüm için kod sayfalarını yürütülebilir markalama gibi uygun bellek korumalarını ayarladıktan sonra, yükleyici yükün giriş noktasına atlar ve eller kötü amaçlı koda kontrol eder.
Bu akışın tamamı, dosya taramalarına veya dosya sistemi etkinliğine dayalı algılamayı atlayarak diskte kötü amaçlı yürütülebilir yapılabilir bırakmaz.
Süreç oluşturma ve bellek davranışını izleyen gelişmiş EDR sistemleri bile genellikle bu adımları kaçırır veya yanlış sınıflandırır, çünkü ilk saplama iyi huylu görünür ve ana yük güvenilir bir işlemin içinde çalışır.
Rapora göre, son kampanyalar bu bellek içi yükleyicileri silahlandırılmış e-posta ekleri, sahte yazılım güncellemeleri ve tehlikeye atılmış web siteleri aracılığıyla teslim etti.
Kurbanlar, sadece birkaç kilobayt boyutunda görünüşte zararsız bir indirici piyasaya sürmeye kandırılıyor.
Bu küçük dosya daha sonra çok daha büyük bir PE yükü, bir bulut depolama bağlantısından veya GitHub deposundan genellikle özel araçlar, uzaktan erişim truva atları veya kimlik bilgisi çalanlar çeker.
Yük asla diske yazılmadığından, adli müfettişler bu olaydan sonra saldırının kanıtını bulmak için mücadele edebilirler.
Belgelenmiş bir durumda, saldırganlar popüler bir yardımcı program olarak gizlenmiş bir uzak yönetim aracı almak için bir yükleyici kullandılar.
Araç, tehdit aktörlerinin ağ içinde yanal olarak hareket etmesine ve hassas verileri çalmasına izin veren meşru bir sürece enjekte edildi.
Yalnızca imzaya dayalı savunmalara dayanan kuruluşlar, son noktalarını yanıt vermeden önce tehlikeye attılar.
Savunucular, birden fazla telemetri kaynağını birleştirerek bellek içi PE yükleyicilerinin tespitini iyileştirebilir. VirtualAlloc, WriteProcessMemory ve Virtual Protect gibi olağandışı API çağrıları için izleme kod enjeksiyon girişimlerini ortaya çıkarabilir.
Kullanıcı işlemlerinden beklenmedik ağ bağlantılarını izleyen anomali algılama da şüpheli indirme etkinliğini işaretleyebilir.
Bellek bütünlüğü kontrolleri ve uç nokta davranış analitiği, bu gizli yükleyicileri gerçek zamanlı olarak tespit etmeye yardımcı olabilir.
Savunmaları sertleştirmek için, kuruluşlar katı uygulama izin verimlerini zorlamalı, canlı süreçleri inceleyebilen bellek tarama araçlarını dağıtmalı ve yanal hareketi sınırlamak için hassas ortamları segmentlere ayırmalıdır.
Bellek içi saldırıları simüle eden düzenli tehdit av egzersizleri görünürlüğü artıracak ve ekipleri hızlı bir şekilde yanıtlamaya hazırlayacaktır.
EDR çözümlerini dosyasız teknikler için en son algılama kurallarıyla güncel tutmak da esastır.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.