Tehdit aktörleri son zamanlarda eski sürücüleri sertifika doğrulamasını atlamak için kullanıyor ve “Legacy Driver Sömürü” olarak bilinen bir teknikten yararlanıyorlar.
Bu yöntem, güvenlik önlemlerinden kaçınmak ve yakın zamanda yapılan bir güvenlik danışmanında vurgulandığı gibi kötü amaçlı yazılım dağıtmak için savunmasız sürücülerin kullanılmasını içerir.
Saldırı öncelikle enfekte olmuş sistemleri uzaktan kontrol etmek ve daha fazla hasara neden olmak için GH0Strat kötü amaçlı yazılımları kullanır.
Kötü amaçlı yazılım, DLL yan yükleme tekniği kullanılarak ek yükler yüklenerek kimlik avı siteleri ve mesajlaşma uygulamaları aracılığıyla dağıtılır.
Sömürü teknikleri ve güvenlik açıkları
Bu saldırının anahtarı, Adlice Software tarafından geliştirilen RogueKiller Antirootkit aracının bir bileşeni olan Truesight.sys sürücüsündeki bir güvenlik açığının sömürülmesidir.
Truesight.sys 3.4.0 ve altındaki sürümler, rastgele süreçlerin sonlandırılmasına izin veren bir kusur içerir, bu da aktörlerin Avkiller aracını kullanarak sömürülmesini tehdit eder.
Microsoft, truesight.sys sürücüsünün savunmasız sürümlerini savunmasız sürücü blok listesine ekledi, ancak 29 Temmuz 2015’ten önce imzalanan eski sürümler muaf.
Tehdit aktörleri, Truesight 2.0.2.0 sürümüne benzeyen değiştirilmiş dosyalar oluşturmak için sertifika alanına müdahale ederek bu boşluktan yararlandı.
Saldırganlar, dosyanın dijital imzası içinde Win_Certicate yapısının dolgu alanını manipüle eder.
Windows sertifika kontrolleri sırasında dolgu alanını doğrulamadığından, kurcalanmış dosyanın geçerli bir imzaya sahip olduğu görülür ve WinVerifyTrust aracılığıyla sertifika doğrulamasını başarıyla atlar.
ASEC’e göre, bu teknik CVE-2013-3900 güvenlik açığı ile ilgilidir, bu da sertifika doğrulamasının kimlik doğrulama tablosu ve başlık bilgileri değiştirilerek atlanmasını sağlar.
Microsoft’un yanıtı ve önerileri
Bu saldırılara yanıt olarak Microsoft, Modifiye Truesight.SYS sürücüsünü ve varyantlarını engellemek için Aralık 2024’te savunmasız sürücü blok listesini güncelledi.
Bu güncelleme, bilinen güvenlik açıklarından yararlanan sürücüleri engelleyerek sistem güvenliğini artırmak için çok önemlidir.
Kullanıcılar, “EnableCertPaddingCheck” seçeneğini etkinleştirme gibi belirli kayıt defteri ayarlarını uygulayarak sertifika doğrulamasını daha da güçlendirebilir.
Bu ayar, uyumluluk sorunları nedeniyle başlangıçta geri alınmasına rağmen, sertifikaların daha katı doğrulanmasını sağlamaya yardımcı olur.
Bu tür tehditlere karşı korumak için, kullanıcılar en son güvenlik güncellemelerini derhal uygulamalı ve sağlam güvenlik çözümlerini kullanmalıdır.
Potansiyel riskleri belirlemek ve etkili bir şekilde yanıt vermek için düzenli güvenlik kontrolleri ve güvenlik açığı analizleri de gereklidir.
Ahnlab V3 gibi güvenlik araçlarının tespit yetenekleri, Truesight.sys’in Truva/Win.vulndriver.r695153 varyantı gibi kötü bir şekilde değiştirilmiş sürücülerin tanımlanmasında ve engellenmesinde hayati bir rol oynar.
Uyanık ve proaktif kalarak, kullanıcılar ve kuruluşlar eski sürücü sömürü saldırılarıyla ilişkili riskleri azaltabilir.
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılım olaylarını analiz edin ve herhangi biriyle canlı erişim alın.Run -> Şimdi ücretsiz başlayın.