Yakın tarihli bir güvenlik raporuna göre, eski sürücü sömürü tekniğini kullanan sofistike bir saldırı önemli bir siber güvenlik tehdidi olarak ortaya çıktı.
İlk olarak Haziran 2024’te kontrol noktası-araştırma (CPR) tarafından belgelenen saldırı, öncelikle algılama mekanizmalarından kaçarken Ghostrat kötü amaçlı yazılım kullanarak enfekte olmuş sistemleri uzaktan kontrol etmeye odaklanmaktadır.
Tehdit oyuncusu, kötü amaçlı yazılımları kimlik avı siteleri ve mesajlaşma uygulamaları aracılığıyla dağıtarak DLL yan yükleme tekniklerini kullanarak ek yükler yükler.
Microsoft’un sürücü engelleme sistemini atlamak için değiştirilmiş bir Truesight.sys sürücüsü kullanırlar ve antivirüs ve uç nokta algılama ve yanıt (EDR) sistemleri gibi güvenlik işlemlerini zorla sonlandırmalarını sağlar.
ASEC analistleri, bu saldırının çekirdeğinin, Adlice Software tarafından geliştirilen RogueKiller Antirootkit’in bir bileşeni olan Truesight.sys sürücüsündeki güvenlik açıklarından yararlanmanın etrafında döndüğünü belirledi.
3.4.0 ve altındaki sürümler, saldırganların Avkiller aracından yararlandığı keyfi süreç feshine izin veren bir güvenlik açığı içerir.
Microsoft savunmasız Truesight.sys sürümlerini savunmasız sürücü blok listelerine eklerken, 2.0.2.0 sürümü 29 Temmuz 2015’ten önce imzalandığı gibi bir muafiyet aldı.
Saldırganlar, meşru Truesight 2.0.2.0 sürümü olarak maskelenen birden fazla dosya oluşturmak için sertifika alanı kurcalama kullanarak bu boşluktan yararlandı.
SSL Sertifikası Bypasing Tekniği
Saldırganların yöntemi, Win_Certificate yapısındaki dolgu alanının değiştirilmesini içerir.
.webp)
Windows, sertifika doğrulaması sırasında bu dolgu alanını doğrulamaz ve kurcalanmış dosyaların meşru olarak imzalanmasına ve WinVerifyTrust aracılığıyla doğrulamayı başarıyla atlamasına izin verir.
.webp)
Bu teknik CVE-2013-3900 güvenlik açığı ile ilgilidir. Kullanıcılar aşağıdaki kayıt defteri ayarlarını uygulayarak korumayı artırabilir:-
32bit
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1
64bit
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1.webp)
Microsoft, bu tehdidi ele almak için 17 Aralık 2024’te savunmasız sürücü blok listelerini güncelledi. Ahnlab V3 artık kötü bir şekilde modifiye edilmiş Truesight.sys’i Truva/Win.vulndriver.r695153 olarak tespit ediyor.
Kuruluşlar en son güvenlik güncellemelerini uygulamalı ve temel sistem güvenlik bileşenlerini hedefleyen bu sofistike saldırılara karşı korunmak için düzenli güvenlik açığı analizleri yapmalıdır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free