EDR-Freeze, uç nokta algılama ve yanıt (EDR) veya antivirüs süreçlerini geçici bir “komaya” zorlayan bir kavram kanıtlama aracıdır.
Güvenlik açığı bulunan bir sürücü yüklemek yerine, güvenlik işlemlerini kullanıcı modundan duraklatmak için yasal Windows Hata Bildirimi bileşenlerinden, özellikle WerFaultSecure.exe ve MiniDumpWriteDump API’sinden yararlanır.
EDR-Freeze, iş parçacıklarını tam doğru anda yarıştırarak hedefteki tüm çalışan iş parçacıklarını askıya alır ve süreci canlı bırakırken telemetriyi durdurur. Yapılandırılabilir bir gecikmenin ardından süreç, genellikle alarm verilmeden normal şekilde devam eder.
Dondurma Prosedürü Nasıl Çalışır?
Saldırı, Researcher tarafından bildirildiği üzere EDR-Freeze_1.0.exe’nin Windows Hata Bildirimi kapsamında WerFaultSecure.exe dosyasını başlatmasıyla başlıyor.
EDR Dondurma Aracı Hedefleri
WerFaultSecure.exe, dbghelp.dll dosyasını yükler ve MiniDumpWriteDump’ı çağırır. Normalde kilitlenme dökümleri yazmak için kullanılmasına rağmen, MiniDumpWriteDump döküm oluşturma sırasında hedef işlemdeki her iş parçacığını askıya alır.
Yardımcı süreç, tanıtıcıları doğrudan hedefin iş parçacıklarına ileterek, MsMpEng.exe (Windows Defender) gibi güvenlik motorunu askıya alır ve daha sonra devam ettirir.
Process Explorer’da hem WerFaultSecure.exe hem de MsMpEng.exe askıya alınmış olarak görünür. Yerleşik bileşenlerin bu şekilde kullanılması, tekniğin gizli olmasını ve birçok uç nokta savunmasını atlayabilmesini sağlar.
Kontrollü bir hafıza yakalama, donmanın açık işaretlerini ortaya çıkarır. MemProcFS kullanıldığında, üç MsMpEng.exe iş parçacığı (TID 764, 4244 ve 7980) 08:35:08 ile 08:35:31 arasında askıya alınan zaman damgalarını ve ardından 08:35:41’de WerFaultSecure.exe iş parçacığının askıya alındığını gösterir.
Zaman ayarlı bu olaylar, yardımcı sürecin duraklamaya yol açtığını doğruluyor.
Volatility’nin windows.handles eklentisi ayrıca WerFaultSecure.exe’nin MsMpEng.exe üzerinde birden fazla iş parçacığında THREAD_ALL_ACCESS ile birlikte 0x18C4A erişim maskesiyle bir PROCESS_SUSPEND_RESUME tanıtıcısı açtığını ortaya çıkarıyor.
Bu kollar hassas iplik askıya alma ve işlemleri sürdürme olanağı sağlar.
Yürütme sırasında her iki işlem de kullanıcının Masaüstü klasöründeki t.txt dosyasına kısa bir süreliğine bir dosya tanıtıcısı açar. Bu geçici dosya, silinmeden önce kodlanmış döküm verilerini iletmek için kullanılır.
Doğası gereği kötü niyetli olmamasına rağmen, değerli bir adli tıp ipucu görevi görür. WerFaultSecure.exe dosyasının içe aktarma adresi tablosu (IAT) incelendiğinde, MiniDumpWriteDump’ın dbghelp.dll dosyasından statik olarak içe aktarıldığı görülmektedir.
Bu içe aktarma, yardımcı ikili programın mini dökümleri tetikleyebileceğinin ve dolayısıyla iş parçacıklarını isteğe bağlı olarak askıya alabileceğinin kanıtıdır.
Araştırmacılar, MiniDumpWriteDump kullanımını gösteren IAT girişlerinin yanı sıra t.txt kalıntılarını ve zaman damgalarını da korumalıdır.
WerFaultSecure.exe’yi hedefleyen statik YARA kuralları, CreateFileW, CreateEventW ve MiniDumpWriteDump içe aktarmalarının yanı sıra “/pid”, “/tid”, “/encfile” ve “/cancel” gibi önemli komut satırı işaretlerinin varlığını işaretleyebilir.
Testlerde, bu kurallar hem yardımcıyı hem de askıya alınan MsMpEng.exe iş parçacıklarını tanımladı ve temiz bir görüntüde hiçbir sonuç vermedi.
Bu kuralları uç nokta arama iş akışlarına dahil etmek, telemetri bastırıldığında bile EDR-Dondurma etkinliğini ortaya çıkarabilir.
EDR-Freeze, saldırganların çekirdek açıklarından yararlanmadan güvenlik araçlarına zarar vermek için güvenilir işletim sistemi bileşenlerini silah haline getirebileceğini gösteriyor.
Süreçleri tersine çevrilebilir bir komaya sürükleyen rakipler, kritik aşamalarda gizlilik kazanır.
Savunmacılar, bu tür geçici duraklamaları yakalamak için hafıza adli tıp ve davranışsal avlara yönelik araştırmaları genişletmeli ve olaya müdahale sırasında güvenlik kontrollerinin görünürlüğünün devam etmesini sağlamalıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.