Yeni ‘Bekleyen İplik Kaçırma’ Kötü Yazılım Tekniği Modern Güvenlik Önlemlerinden Kaçınıyor

   Nisan 15, 2025  Posted in GBHackers


Güvenlik araştırmacıları, birçok modern güvenlik savunmasını atlarken meşru süreçlerde kötü amaçlı kod yürütmek üzere tasarlanan “Bekleme İplik Kaçırımı” (WTH) olarak adlandırılan yeni bir kötü amaçlı yazılım enjeksiyon tekniğini tanıttılar.

Check Point Research tarafından geliştirilen WTH, klasik iş parçacığı yürütülmesinin bir evrimini temsil eder ve kötü şöhretli API çağrılarından kaçınarak gizlilik elde eder.

Süreç enjeksiyon teknikleri, kötü amaçlı yazılım yazarları tarafından savunma kaçırma, çalışma süreçlerine müdahale etme veya artan ayrıcalıklar gibi amaçlar için sıklıkla kullanılır.

– Reklamcılık –
Google HaberleriGoogle Haberleri

Saldırganlar, uç nokta algılama ve yanıt (EDR) sistemleri ve antivirüs yazılımı ile tespiti atlatan yöntemler bulmak için sürekli olarak yenilik yaparlar.

WTH bunu beklenmedik bir sırayla ortak sistem işlevlerini kullanarak elde etmeyi amaçlamaktadır.

Geleneksel algılama tetikleyicilerini atlamak

Klasik iş parçacığı yürütme kaçırma, genellikle bir hedef işlemde bir iş parçacığı bulmayı ve kullanmayı askıya almayı içerir. SuspendThreadyürütme bağlamını değiştirme (özellikle talimat işaretçisi) SetThreadContext Kötü amaçlı koda işaret etmek ve sonra iş parçacığını devam ettirmek ResumeThread.

Bu API çağrıları, gerekli olanlarla birlikte THREAD_SUSPEND_RESUME Ve THREAD_SET_CONTEXT Erişim hakları, son derece şüphelidir ve güvenlik ürünleri tarafından yoğun bir şekilde izlenir ve genellikle hemen tespiti sağlar.

Bekleyen iplik kaçırma bu tetikleyicileri atlatır. İşletir:

  1. Gibi standart işlevleri kullanmak VirtualAllocEx bellek tahsis etmek ve WriteProcessMemory Kötü amaçlı yükü (Shellcode) hedef işleme yazmak için12. Bunlar gerektirir PROCESS_VM_OPERATIONPROCESS_VM_READVe PROCESS_VM_WRITE izinler.
  2. Hedef işlemde uygun bir bekleme ipliğinin belirlenmesi. Windows iş parçacığı havuzu sistemi tarafından yönetilen iş parçacıkları, özellikle de bir bekleme durumunda olanlar WrQueueideal adaylardır. Bu iplikler uykuda, bir etkinlik bekliyor ve ihtiyaç duymadan otomatik olarak devam edecek ResumeThread.
  3. Kullanarak iş parçacığının bağlamını elde etmek GetThreadContextbu sadece daha az şüpheli gerektirir THREAD_GET_CONTEXT izin.
  4. Yığındaki dönüş adresini bulmak için iş parçacığının yığın işaretçisini (RSP kayıt) okuma. Belirlenen bekleme senaryolarında (syscall sarmalayıcılar içinde NtRemoveIoCompletion veya NtWaitForWorkViaWorkerFactory), dönüş adresi tahmin edilebilir bir şekilde yığının üstünde bulunur.
  5. Enjekte edilen kabuk kodunun adresi ile bu iade adresinin üzerine yazılması WriteProcessMemory.
  6. İpliğin bekleme koşulu karşılandığında, doğal olarak uyanır ve arayanına “geri dönmeye” çalışır. Bunun yerine, üzerine yazılmış adresi takip eder ve saldırganın kodunu yürütür.

İstikrarı korumak ve gizliliği arttırmak

WTH’nin kilit yönü, hedef uygulamanın sabit kalmasını sağlamaktır. Enjekte edilen kabuk kodu, iş parçacığının orijinal durumunu (kayıtlar ve bayraklar) kaydeden, ana kötü amaçlı yükü yürüten, kaydedilen durumu geri yükleyen ve daha sonra orijinal dönüş adresine atlayan bir saplama içerir (üzerine yazılmadan önce enjektör tarafından kaydedilir).

Bu, kaçırılan iş parçacığının implantı yürüttükten sonra normal çalışmasına devam etmesini ve bozulmayı en aza indirmesini sağlar.

Tek bir işlemden şüpheli API çağrıları dizilerini arayan davranışsal algılama sistemlerinden daha da kaçınmak için, araştırmacılar bir şaşkınlık yöntemi gösterdiler.

Bu, WTH adımlarının bölünmesini – bellek tahsisi, yükü yazmak, bellek izinlerini yürütülebilir olarak değiştirmek ve iade adresinin üzerine yazmayı – birden fazla ayrı alt işlemin üzerinden içerir.

WTH birçok yaygın tespit tetikleyicisini önlerken, tespit edilemez. Başka bir sürecin anısına yazma yetkisiz girişimi proaktif olarak engelleyen EDR çözümleri, bu tekniği etkili bir şekilde önleyebilir.

Tespit, belirli yüksek alçalı API’lerin işaretlenmesine ve davranışsal analizlere daha çok işaretlenmeye, eylem dizilerinin izlenmesine (ortak API’leri içeren) veya harici bellek yazmanın kendisini tanımlamaya dayanır.

Tekniğin basitliği ve ortak API’lerin kullanımı, sadece kötü amaçlı yazılım dosyasının statik analiziyle tespit etmeyi zorlaştırır.

Kontrol noktası araştırması, WTH’nin daha önce açıklanan “iplik adı çağrısı” tekniğini yakalayan bazı EDR’lere karşı etkili olduğunu kanıtladığını, diğer EDR’lerin ise WTH’yi engellediğini ancak eski yöntemi engellemediğini belirtti.

Bu, EDR yeteneklerindeki çeşitliliğin altını çiziyor ve birden fazla enjeksiyon tekniğine sahip olarak saldırganların kazanması.

Bekleyen Konu Kaçaklığı, saldırganlar ve savunucular arasında devam eden kedi ve fare oyununda kötü amaçlı yazılım cephaneliğine başka bir gizli seçenek ekler.

Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!



Source link