Tehdit aktörleri, gizli kayıt defteri girişleri oluşturmak için Sharphide aracının değiştirilmiş bir versiyonunu kullanıyor ve tespit ve kaldırma çabalarını önemli ölçüde karmaşıklaştırıyor.
Bu teknik, kötü niyetli girişleri gizlemek için NULL sonlandırılmış dizeler kullanarak Windows kayıt defteri işlemesindeki güvenlik açıklarından yararlanır.
Modifiye Sharphide, standart algılama mekanizmalarından kaçarken kötü amaçlı yazılım kalıcılığını sağlayan sofistike saldırı zincirlerine entegre edilmiştir.
Windows Kayıt Defteri Yeniden Yönlendirme Kullanımı
Modifiye edilmiş Sharphide Aracı, başlangıçta Ewhitehats araştırmacıları tarafından belgelenen ve iki geniş karakterli boşlukların kayıt defteri yollarına hazırlanmasını içeren bir teknik kullanır.
Bu yöntem, araç null karakterleri düzgün bir şekilde işleyemediğinden, Windows Kayıt Defteri Düzenleyicisi’nden (regedit) kötü niyetli girişleri etkili bir şekilde gizler.
Saldırganlar, bu özelliği, kritik kayıt yolları altında gizli anahtarlar oluşturmak için kullanır. HKCU\Software\Microsoft\Windows\CurrentVersion\Run veya HKLM eşdeğerler, sistem yeniden başlatmalarında kalıcılığın sağlanması.
Yönetici ayrıcalıklarıyla yürütüldüğünde, kötü amaçlı yazılım, gizli değerleri yazmak için Windows Kayıt Defteri yeniden yönlendirmesini kullanır. WOW6432Node 64 bit sistemlerde dal.
Bu davranış, kötü amaçlı komut dosyasının 32 bitlik bir işlemde çalıştığı için gerçekleşir (RegSvcs.exe), pencerelerin kayıt defterini yeniden yönlendirmesine neden olmak WOW6432Node dal.
Bu gizli girişler standart Sharphide silme teknikleri ile tespit edilemez ve iyileştirme çabalarını daha da karmaşıklaştırır.
Gizleme ve yük yürütme
Modifiye edilmiş Sharphide, iki temel kodlu ikili dosyayı gizleyen bir PowerShell betiğinin bir parçası olarak dağıtılır.
Birincisi ikili, birincil kötü amaçlı yükü içerirken, ikincisi bir yükleyici olarak hizmet eder.
Yükleyici, PowerShell’in Yansıma yeteneklerini, yükü meşru içinde dinamik olarak yükleme ve yürütme yeteneğini kötüye kullanır RegSvcs.exe işlem.
Bu yaklaşım, kötü amaçlı yazılımların, güvenlik araçlarına görünürlüğünü azaltarak, güvenilir bir sistem yürütülebilir bir sistem kisvesi altında çalışmasını sağlar.
Yürütme üzerine, gizli kayıt defteri girişi, mshta.exesaldırgan kontrollü bir komut ve kontrol (C2) sunucusundan ikincil bir komut dosyasını alır ve çalıştırır.
Bu çok aşamalı yürütme zinciri, tehdit aktörlerinin kalıcılığı korumasını ve yüklerini dinamik olarak güncellemelerini sağlar.
Bu gelişmiş kalıcılık tekniklerini ele almak için güvenlik araştırmacıları Sharpdelete adında bir araç geliştirdiler.
Bu yardımcı program, Sharphide tarafından oluşturulan gizli kayıt defteri değerlerini tespit etmek ve kaldırmak için tasarlanmıştır, WOW6432Node.
SharpDelete, kullanıcıların analiz ve temizlik için özel kayıt defteri konumlarını belirtmelerine izin vererek esneklik sağlar.
Modifiye Sharpide’nin sömürülmesi, tehdit aktörleri tarafından kullanılan kalıcılık mekanizmalarının gelişen sofistike olmasının altını çizmektedir.
Saldırganlar, yerel API’leri kötüye kullanarak ve kayıt defteri yeniden yönlendirmesinden yararlanarak, geleneksel tespit yöntemlerine meydan okuyan gizli kalıcılık elde edebilirler.
Güvenlik ekipleri, gizli kayıt defteri girişlerini tespit edebilen ve PowerShell etkinliği ve proses enjeksiyonu gibi davranışları izleyebilen gelişmiş araçları benimsemelidir.
Bu olay, bu ortaya çıkan tehditlerle etkili bir şekilde mücadele etmek için Sysinternals Autorunlar ve Sharpdelete gibi özel kamu hizmetleri gibi davranışsal analiz araçları da dahil olmak üzere proaktif savunma önlemlerinin önemini vurgulamaktadır.
PCI DSS 4.0 ve Tedarik Zinciri Saldırısı Önleme – Ücretsiz Web Semineri