Hızla gelişen karmaşık tehdit ortamında, EDR şirketleri sürekli olarak yeni vektörlere karşı yarışıyor.
Son zamanlarda Sec4US’tan Helvio Benedito Dias de Carvalho Junior (diğer adıyla M4v3r1ck) “HookChain” adı verilen bir yenilik geliştirdi. Dinamik SSN çözünürlüğünü ve dolaylı sistem çağrılarını kullanan IAT kancalama tabanlı bir tekniktir.
HookChain, Windows alt sistemi yürütme akışlarını görünmez bir şekilde geleneksel Ntdll’ye yönlendirerek gelişmiş kaçakçılığa olanak tanır. Herhangi bir kod değişikliği olmadan EDR’leri dll izleme.
KancaZincir EDR Algılama
Oyunun kurallarını değiştiren bu çalışma, siber güvenlik normlarına meydan okuyor ve sürekli gelişimin getirdiği güçlü güvenlik ihtiyacının ışığında sürekli gelişen uyarlanabilir koruma stratejilerinin yollarını kapsıyor.
HookChain, son derece gelişmiş uç nokta bilgisine sahiptir ve bu da dinamik tehditlerle daha güçlü bir şekilde başa çıkmayı amaçlayan proaktif çözümlerin geliştirilmesini teşvik etmiştir.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide
Bir EDR (Uç Nokta Tespiti ve Yanıtı) aracısı, işletim sistemi etkinlikleri hakkında bilgi toplayan, işleyen ve merkezi bir analiz motoruna gönderen birden fazla yazılım bileşeninden oluşur.
Bu makine, elde edilen tüm telemetri verilerini dikkate alarak kullanıcının ne istediğine karar verir.
EDR aracıları bu gözetimi gerçekleştirmek için çok sayıda modül ve veri kaynağı kullanır; ancak modüllerin sayısı, türü ve konumu her üründe farklılık gösterebilir.
.webp)
Ancak asıl amacı, tehdit tanımlamanın yanı sıra yanıt yeteneklerini de geliştirmek için uç nokta operasyonları hakkında geniş kapsamlı bilgi toplamaktır.
Aşağıda en yaygın aracılardan ve modüllerden bahsettik: –
- Statik Tarayıcı
- DLL Kancası
- Çekirdek Sürücüsü
- Temsilci Hizmeti
Windows, en yüksek ayrıcalık halkasında (halka 0) çalışan bir hipervizör katmanıyla, kullanıcı ve çekirdek modları arasında ayrı bir ayrım yoluyla çalışır.
Araştırmacılar, kullanıcı uygulamalarının kullanıcı modunda (halka 3) yürütüldüğünü, işletim sistemi çekirdeğinin, sistem hizmetlerinin ve sürücülerin ise çekirdek modunda yürütüldüğünü söyledi.
Bir kullanıcı uygulaması WriteFile işlevini çağırdığında, isteği doğrulayan ve uygun bir çekirdek uygulamasına yönlendiren Sistem Hizmet Dağıtıcısı aracılığıyla kullanıcı modundan çekirdek moduna geçer.
Bu tasarım, tek bir kullanıcı tarafından oluşturulan süreçlerin hassas sistem verilerine veya işlevlerine doğrudan erişiminin olmamasını sağlar.
Çeşitli koruma halkaları arasındaki geçiş, belirli CPU talimatlarını ve önceden tanımlanmış çağrı kurallarını kullanır.
Microsoft’un güncellemelerine göre, bu aramaların numaraları daha güvenli hale gelmek için sürekli değişiyor.
Ntdll.dll dosyasındaki Windows kullanıcı modu görüntü yükleyicisi, yürütülebilir (PE) ve kitaplık (DLL) dosyalarının, dış bağımlılıkları listeleyen tanımlı içe aktarma tablolarıyla yüklenmesini yönetir.
Yükleme sırasında İçe Aktarma Adres Tablosu (IAT), ASLR gibi gereksinimleri karşılayacak şekilde başvurulan işlevlerin bellek adresleriyle doldurulur.
Uç Nokta Tespit ve Yanıt (EDR) araçları, içe aktarılan işlev çağrılarından önce ve sonra bir uygulamanın kontrol akışını değiştirerek izleme mantığını eklemek için işlev müdahalesinden (“kancaya alma”) yararlanır.
.webp)
Yaygın kancalama yaklaşımları arasında JMP/CALL talimatlarının kullanılması veya izlenen uygulama yüklendiğinde çalışma zamanında IAT’nin doğrudan değiştirilmesi yer alır.
Bu, EDR’lerin güvenlik izleme amacıyla uygulamanın davranışını şeffaf bir şekilde analiz etmesine ve potansiyel olarak kontrol etmesine olanak tanır.
HookChain tekniği, EDR çözümü tarafından uygulanan güvenlik izleme ve kontrollerini atlamada yüksek etkinlik göstermektedir.
Değerlendirilen EDR çözümleri genelinde HookChain, bu savunma katmanlarını aşmada %88’lik bir başarı oranı elde etti ve onları bu kaçamak yaklaşıma karşı etkisiz hale getirdi.
Combat Email Threats with Easy-to-Launch Phishing Simulations: Email Security Awareness Training -> Try Free Demo