Gelişmiş tehdit aktörleri, Windows (ETW), Sysmon izleme ve uç nokta algılama ve yanıt (EDR) sistemleri için etkinlik izleme dahil olmak üzere modern güvenlik altyapısını başarılı bir şekilde atlayan sofistike gizli Syscall yürütme teknikleri geliştirmiştir.
Bu teknikler, geleneksel algılama mekanizmalarını etkisiz hale getirmek için çağrı yığın sahtekarlığı, ETW API kancası ve şifrelenmiş Syscall yürütme gibi çoklu kaçırma yöntemlerini birleştirerek siber güvenlik savunucuları için önemli zorluklar sunar.
Bu gizli tekniklerin çekirdeği, sistem yürütme konusundaki merkezler, standart Windows API işlevleri yerine dinamik olarak tahsis edilen yığın belleği yoluyla dolaylı olarak çağrılar.
.png
)
Güvenlik araştırmacıları, tehdit aktörlerinin ntdll.dll’den çalışma zamanında Syscall sayılarını nasıl dinamik olarak çözdüğünü, XOR Cipher işlemlerini kullanarak Syscall saplamalarını şifrelediğini ve yürütmeden hemen önce bunları şifresini çözdüğünü belgelediler.
Bu yaklaşım, EDR çözümlerinin genellikle şüpheli davranışı izlemek için standart Windows API’lerine yerleştirdiği kullanıcı modu kancalarını etkili bir şekilde atlatır.
Şifreleme metodolojisi, standart Syscall kurulumu için “MOV R10, RCX”, ardından “Mov Eax, SyscallNumber” ve gerçek Syscall talimatı dahil olmak üzere belirli montaj talimatlarıyla Syscall saplamaları oluşturulmayı içerir.
Bu saplamalar, 0x5A gibi anahtarlarla şifrelenir ve yığın tahsis edilmiş bellekte saklanır, bu da IDA Pro ve Ghidra gibi statik analiz araçlarının kalıp tanımada daha az etkili olmasını sağlar.
Bu yürütmenin dinamik doğası, güvenlik araçlarının bellekte bilinen Syscall kalıplarını algılamasını önler, çünkü şifrelenmiş saplamalar yalnızca yürütme sırasında kısa anlar için şifre çözülmüş formlarında bulunur.
Stack Manipülasyonunu Arayın
Sofistike saldırganlar, güvenlik araçlarının tehdit algılaması için güvendiği çağrı yığın izlerini belirlemek için vektörlü istisna işleyicileri (AREP) kullanarak gerçek yığın sahtekarlık tekniklerini uygularken gözlemlenmiştir.
Siber casusluk grubu APT41, meşru operasyonları taklit etmek için sahte çağrı yığınları oluşturma konusunda uzmanlık göstermiştir ve kötü amaçlı aktivite tanımlaması için çağrı yığın analizine bağlı EDR sistemlerinden başarılı bir şekilde kaçınmıştır.
Bu teknik, normal program işleminin görünümünü korurken yürütme akışını yeniden yönlendirmek için iş parçacığı bağlam kayıtlarını değiştirmeyi içerir.
Donanım kırılma noktası sahtekarlığı, bu kaçırma tekniklerinin bir başka kritik bileşenini temsil eder.
Saldırganlar, X64DBG ve Windbg gibi hata ayıklayıcıların etkili kesme noktaları ayarlamasını önlemek için DR0’den DR0’den DR0’den DRD0 kayıtlarını sistematik olarak temizler.
İş parçacığı bağlam bayraklarını değiştirerek ve bu donanım kayıtlarını sıfırlayarak, kötü amaçlı kod, güvenlik araştırmacılarının ve otomatik analiz sistemlerinin sıklıkla kullandığı hata ayıklayıcı tabanlı algılama mekanizmalarını tetiklemeden yürütülebilir.
Nötralizasyon
Belki de en önemlisi, doğrudan işlev yaması yoluyla pencereler için olay izlemenin sistematik olarak devre dışı bırakılmasıdır.
Saldırganlar, ilk talimatını basit bir dönüş (RET) talimatı ile değiştirerek, ETW’nin günlük kaydı özelliklerini etkili bir şekilde etkisiz hale getirerek NTTraceEvent işlevini yamalamak için yöntemler geliştirdiler.
Bu teknik, T1562.001 Tekniği olarak MITER ATT & CK çerçevesi altına girer.
Rapora göre, ETW devre dışı bırakma işlemi, NTTraceEvent fonksiyonunun bellek korumasını değiştirmek, yürütülebilir ve yazılabilir hale getirmek, daha sonra işlevi 0xc3 bayt (RET talimatı) ile yamalamak için şifreli Syscall saplamalarının kullanılmasını içerir.
Bu yaklaşım, Sysmon gibi araçların tipik olarak yakalanan ve güvenlik izleme altyapısında önemli kör noktalar oluşturan şüpheli faaliyetlerin sistem çapında günlüğe kaydedilmesini önler.
Bu gelişmiş gizli teknikler, geleneksel güvenlik algılama yöntemleri için toplu olarak zorlu bir zorluk yaratır.
Şifreli Syscall yürütme, yığın sahtekarlığı, donanım kırılma noktası temizleme ve ETW devre dışı bırakma kombinasyonu, savunucuların daha sofistike algılama mekanizmaları geliştirmelerini gerektiren düşman yeteneklerinde bir evrimi temsil eder.
Güvenlik uzmanları, yalnızca çağrı yığını incelemesine veya ETW günlüğüne dayanmayan davranışsal analizler de dahil olmak üzere etkili karşı önlemler geliştirmek için bu teknikleri anlamalı ve alternatif uzlaşma göstergeleri aracılığıyla bu kaçırma girişimlerini tanımlayabilen çok katmanlı algılama stratejileri uygulamalıdır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!