Windows 11 sürüm 24H2’nin son sürümü bir dizi yeni özellik ve güncelleme getirdi, ancak aynı zamanda önemli siber güvenlik endişeleri de artırdı.
Process Hollowing veya Runpe olarak bilinen uzun süredir devam eden bir kötü amaçlı yazılım tekniği, bu en son Windows güncellemesinde uyumluluk sorunlarıyla karşılaşmış ve siber güvenliğin gelişen manzarası hakkında daha geniş tartışmalara yol açmıştır.
Proses oyma, kötü amaçlı yazılımlar tarafından tespitten kaçınmak için sıklıkla kullanılan sofistike bir kod enjeksiyon tekniğidir. Askıya alınmış bir durumda meşru bir süreç oluşturmayı, hafızasını oyulmayı ve kötü niyetli kodla değiştirmeyi içerir.
Devam ettikten sonra, süreç kılık değiştirmiş zararlı eylemler yürütürken meşru görünür. Saldırganlar, geleneksel güvenlik önlemlerini atlamadaki etkinliği nedeniyle bu yöntemi yaygın olarak kullanmışlardır.
Windows 11 24h2 ile oyma işlemi
1 Ekim 2024’te piyasaya sürülen Windows 11 sürüm 24H2, performansı ve güvenliği artırmayı amaçlayan birkaç kanama altı değişikliği başlattı.
Araştırmacıya göre, güncelleme hotpatching için yerel destek ekledi ve işlem başlatma sırasında Windows yükleyicinin davranışını değiştirdi. Bu değişiklikler, bellek özelliklerine daha katı kontroller getirerek proses oyma tekniklerinin işlevselliğini yanlışlıkla bozdu.
Özellikle, yeni yükleyici bir işlev çağırıyor, ZwQueryVirtualMemorybellek bölgelerinin işaretlenmesini gerektiren bir parametre ile MEM_IMAGE.
Proses oyma tipik olarak kullandığından MEM_PRIVATE Bellek Tahsisleri Enjekte edilen yükler için bu uyumsuzluk işlemin bir hata ile sonlandırılmasına neden olur (0xc0000141).
Bu değişiklik, saldırganlar tarafından süreç oyunun kullanımını zorlaştırsa da, penetrasyon testi veya hata ayıklama amaçları için bu tekniğe dayanan meşru araçları ve araştırma çerçevelerini de etkiler.
Sorun, gelişen işletim sistemi güncellemelerinin belirli tekniklerin hem kötü niyetli hem de iyi huylu kullanım durumlarını nasıl bozabileceğini vurgulamaktadır.
Dahası, saldırganlar zaten uyum sağlıyor. Proses doppelgänging, proses hayaletleme ve işlem gören oyma gibi hibrit teknikler gibi alternatif yöntemler potansiyel değiştirmeler olarak ortaya çıkmıştır.
Bu yaklaşımlar yükleri şöyle harita MEM_IMAGEgizliliği korurken yeni kısıtlamaları atlamak.
Process Hollowing’e güvenen geliştiriciler veya araştırmacılar için iki temel çözüm mevcuttur:
- Alternatif teknikleri benimseyin: Windows 11 24H2 ile uyumlu olan işlem gören veya hayalet oyma gibi daha yeni yöntemlere geçiş.
- Yama Ntdll: Yeni kontrolleri atlamak için NTDLL kitaplığındaki belirli işlevleri değiştirin. Ancak, bu yaklaşım daha risklidir ve sistem istikrarsızlığı getirebilir.
Bu gelişme, işletim sistemi güvenlik geliştirmeleri ve kötü amaçlı yazılım evrimi arasındaki devam eden silah yarışının altını çizmektedir. Microsoft’un değişiklikleri sömürüye karşı savunmaları güçlendirmeyi amaçlarken, siber güvenlik profesyonellerine araçlarını ve metodolojilerini uyarlamaya da meydan okuyorlar.
Windows 11 sürüm 24H2 sunumuna devam ettikçe, kuruluşlar uyanık kalmalıdır. Belirli tekniklere güvenmek yerine davranışsal analize odaklanan gelişmiş tespit stratejileri, ortaya çıkan tehditleri azaltmada kritik olacaktır.
Collect Threat Intelligence with TI Lookup to Improve Your Company’s Security - Get 50 Free Request