Windows MiniFilter sürücüsü, Sysmon sürücüsü gibi, EDR sürücülerinin yüklenmesini engellemek için kötüye kullanılabilir.
Uç Nokta Algılama ve Müdahale (EDR) süreçlerinin, yerel yönetici veya sistem düzeyinde bir uç noktaya erişim olsa bile saldırganlar tarafından durdurulması zordur, çünkü bunlar otonom ve kalıcı bir şekilde çalışacak şekilde tasarlanmıştır.
Tier Zero Security Baş Danışmanı Eito Tamura, Sysmon sürücüsü gibi bir MiniFilter sürücüsünün, Sysmon sürücüsünü test ederken EDR sürücülerinin yüklenmesini durdurmak için kötüye kullanılabileceğini buldu.
“Bu, çekirdek geri aramalarını engelleyerek telemetriyi etkili bir şekilde kör eder. Bu, MiniFilter’ların yükleme sırasını ve her MiniFilter’ın Yüksekliğinin sürücüsüne özgü olması gerekliliğini istismar eder”, blog yazısında yer almaktadır.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Filtre Yöneticisi Mimarisi
Eito Tamura, EDR sürücüsünün Yüksekliğini hedef filtreden önce yüklenen başka bir MiniFilter’a tahsis ederek EDR sürücüsünün Filtre Yöneticisi’ne kaydolmasını engellediğini iddia ediyor.
Microsoft birkaç hafifletme önlemi uyguladı. Araştırmacı Sysmon sürücüsünün yüksekliğini MDE sürücüsünün (WdFilter) yüksekliğine uyacak şekilde değiştirmeye çalışırken bir uyarı verildi ve regedit işlemi sonlandırıldı.
Masaüstünde bir uyarı göründükten sonra, Altitude girişi kaldırıldı. Altitude’u manuel olarak geri yüklemeden, Sysmon etkili bir şekilde devre dışı bırakılır.
Aynı saldırıyı denerken benzer bir savunma mekanizmasının tetiklenip tetiklenmeyeceğini test etmek amacıyla sistemde halihazırda bulunan varsayılan sürücüler (FileInfo gibi) dahil olmak üzere ek MiniFilter sürücülerinin kullanılabileceğini belirtti.
Beklenmedik bir şekilde, değişiklik engellenmedi ve Sysmon sürücüsünün irtifası etkin bir şekilde MDE (328010) olarak belirlendi.
“REG_MULTI_SZ gibi farklı kayıt defteri türlerini kullanarak bunu aşabildim. Bu güvenlik açığı o zamandan beri azaltıldı ve artık aşılamaz”, blog yazısında yer alıyor.
Ayrıca MiniFilter, artık kullandıkları Yüksekliği de destekliyor; bu da bir nokta (“.”) ve ardından beş rakamdan oluşan XXXXX.YYYYY.
Her yüklendiğinde, YYYYY bölümü dinamik olarak atanır ve değişir. Bunu yaparak, saldırganların diğer MiniFilter sürücülerine aynı Altitude’u vermesi engellenir.
Ayrıca Sysmon sürücüsünün kayıt defteri ayarlarının Sysmon’un daha çabuk yüklenmesi için nasıl değiştirileceğini açıkladı ve WdFilter’ın yüklenmesini başarıyla durdurdu.
MDE dahil olmak üzere belirli satıcılar hala bu sorundan etkileniyor. Bahsedilen EDR sağlayıcısı tarafından uygulanan hafifletmeler bu MiniFilter sorunu için uygulanabilir bir çözüm sağlayabilir.
Bu nedenle, SOC ekipleri yalnızca Sysmon’da değil, tüm MiniFilter’larda Altitude ile ilgili olağandışı kayıt defteri değişikliklerini takip etmeli ve herhangi bir değişiklik bulurlarsa hızla harekete geçmelidir.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial