Siber suçlular, siber tellerdeki korkunç bir artışın ortasında Windows sistemlerine karşı tercih edilen bir silah olarak çekirdek düzeyinde kötü amaçlı yazılım kullanmaya devam ediyor.
Ring 0’da faaliyet gösteren işletim sistemindeki en yüksek ayrıcalık seviyesi Bu tür kötü amaçlı yazılımlar saldırganlara güvenlik savunmalarını devre dışı bırakmak, kalıcılığı korumak ve tespit edilmeyenleri çalıştırmak için eşsiz erişim sağlar.
Microsoft’un PatchGuard, Sürücü İmza Uygulaması (DSE) ve hipervizör korumalı kod bütünlüğü (HVCI) gibi sağlam karşı önlemlerine rağmen, tehdit aktörleri bu korumaları atlamak için dijital olarak imzalanan sürücüleri ve yeraltı hizmetlerini kullanıyor.
Çekirdek seviyesi kötü amaçlı yazılım
Grup-IB Raporu tarafından yapılan son araştırmalar, 2020’den beri 620’den fazla kötü amaçlı sürücü ve 80’den fazla uzlaşmış sertifikayı analiz ederek, saldırganların çekirdek düzeyinde gizli, yüksek etkili operasyonlar yürütmek için meşru güven mekanizmalarından yararlandığı sofistike bir ekosistem ortaya koymaktadır.
Çekirdek düzeyinde erişimin cazibesi, bellek, dişler ve donanım işlemleri gibi kritik OS işlevlerini yönetme yeteneğinde yatmaktadır, bu da sistem davranışını iz bırakmadan değiştirirken antivirüs ve uç nokta algılama araçlarını atlamak için ideal bir giriş noktası haline getirir.
Saldırganlar, kötü amaçlı çekirdek sürücülerini imzalamak için Windows Donanım Uyumluluk Programı (WHCP) ve Genişletilmiş Doğrulama (EV) sertifikalarını kötüye kullanarak, meşru yazılım olarak etkili bir şekilde maskelenerek uyarlanmıştır.
Yeraltı pazarları tehdit manzarasını besle
Grup-IB’nin soruşturması, bu tür bir faaliyette bir artışı vurgulamaktadır, 250’den fazla sürücü ve sadece 2022’de kötü amaçlı kampanyalara bağlı 34 sertifika, genellikle meta veri analizine dayanan Çin kuruluşlarına bağlıdır.
Birinci aşama sürücüler olarak hareket eden çekirdek yükleyiciler, imzasız veya imzalı ikincil sürücüleri belleğe, gizli ve uyarlanabilirliği artırarak dinamik olarak yükleyerek başka bir gizleme katmanı ekler.
Küba ve Lockbit gibi fidye yazılımı grupları tarafından kullanılan Fivesys ve FakeTry gibi önemli kötü amaçlı yazılım aileleri, bu yükleyicileri komut ve kontrol sunucularından veya yerel depolamadan yükleri almak için geleneksel algılama mekanizmalarından kaçınır.
Endişenin daha da derinleştirilmesi, Çin siber suçlu topluluklarındaki bazı Rus konuşan aktörlerin bu kimlik bilgilerini 260 ila 15.000 dolar gibi sattığı satıcıların Rusça konuşan bazı aktörlerin satıcılar için gelişen yeraltı pazarıdır.
Genellikle hileli iş kayıtları veya çalıntı kimlikler yoluyla elde edilen bu sertifikalar, daha az vasıflı tehdit aktörlerinin bile güvenlik araçlarını devre dışı bırakabilen imzalı çekirdek kötü amaçlı yazılımları dağıtmalarını sağlar.
Reddriver’ın tarayıcı kaçırma ve kalıcılık planlarında yeniden kullanımı gibi alakasız kampanyalarda altyapı imzalamadaki örtüşme, ortak bir istismar ekosisteminin altını çiziyor.
2020’den bu yana, WHCP ile imzalanan sürücülerin bağımsız EV sertifikaları üzerinde tercihi arttı ve saldırganların Microsoft ekosistemindeki daha derin güvenden yararlanma niyetini yansıttı.
Yalnızca EV sertifikası gerektiren WHCP sürücüsü gönderimi, Microsoft Ortak Merkezi’ne kayıt ve kazasız bir sürücü gibi meşru süreçlerin kullanılması, doğrulama zincirinde kritik güvenlik açıklarını ortaya çıkarır.
Sertifika yetkilileri (CAS), genellikle bir telefon görüşmesi ile sınırlı olan sınırlı insan gözetimi olan yasal ve operasyonel varoluş kontrolleri gibi adımları uygularken, sistemi manipüle etmek için iyi kaynaklanan tehdit aktörlerine veya ulus devletlerine yer bırakır.
Çekirdek yükleyicilerin ve imzalı sürücülerin yükselişi, fiziksel varlık doğrulaması ve CAS, işletim sistemi satıcıları ve güvenlik topluluğu arasındaki gelişmiş işbirliği de dahil olmak üzere, istismar edilmiş kimlik bilgilerini hızla iptal etmek için acil reformlar çağrısında bulunuyor.
Siber suçlular adapte olmaya devam ettikçe, bu güven mekanizmalarını güçlendirmek, Windows sistemlerini çekirdek düzeyinde istismarların gizli, kalıcı tehdidinden korumak için çok önemlidir.
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt