DefenderWrite adı verilen yeni bir araç, korumaları atlamak ve antivirüsün çalıştırılabilir klasörlerine rastgele dosyalar yazmak için beyaz listeye alınmış Windows programlarından yararlanıyor ve potansiyel olarak kötü amaçlı yazılımların kalıcılığını ve kaçışını mümkün kılıyor.
Siber güvenlik uzmanı Two Seven One Three tarafından geliştirilen araç, penetrasyon testçileri ve kırmızı ekiplerin çekirdek düzeyinde erişime ihtiyaç duymadan yükleri yüksek düzeyde korunan konumlara bırakması için yeni bir teknik gösteriyor.
Bu gelişme, antivirüsün kendi kendini koruma mekanizmalarında süregelen zorlukların altını çiziyor; burada AV yürütülebilir dosyalarını barındıran klasörler, kurcalamayı önlemek için genellikle değişikliklere karşı korunuyor.
Saldırganlar, antivirüs satıcılarının güncellemeler ve kurulumlar için beyaz listeye aldığı sistem programlarını tanımlayarak, bu istisnalardan yararlanarak kötü amaçlı DLL’ler enjekte edebilir ve AV’nin kendi korumalarını buna karşı çevirebilir.
Aracın GitHub aracılığıyla paylaşılan sürümü, AV yazılımının operasyonel gereklilikleri ile kurumsal ortamlardaki güvenlik riskleri arasındaki denge konusundaki tartışmaları ateşledi.
Rastgele Yazma İşlemleri İçin Beyaz Listedeki Programlardan Yararlanma
DefenderWrite’ın arkasındaki temel yenilik, AV klasörlerine erişmesine izin verilenleri bulmak için Windows yürütülebilir dosyalarını sistematik olarak taramaktır.
C:\Windows gibi dizinlerdeki tüm .exe dosyalarını numaralandırarak, korumalı yollara yazma yeteneklerini test etmek için işlem oluşturmayı ve uzaktan DLL eklemeyi kullanın.
Özel bir DLL, dosya yazma işlemini gerçekleştirir ve başarı veya başarısızlığı raporlayarak aracın, savunmaları tetiklemeden msiexec.exe gibi istismar edilebilir süreçleri belirlemesine olanak tanır.
Microsoft Defender sürüm 4.18.25070.5-0 ile Windows 11 24H2 üzerinde yapılan testlerde yöntem, bu tür dört programı tanımladı: msiexec.exe, Register-CimProvider.exe, svchost.exe ve lsass.exe.
Örneğin, msiexec.exe’nin başlatılması ve DLL’nin enjekte edilmesi, laboratuar deneylerinde gösterildiği gibi, bir dosyanın doğrudan Defender’ın kurulum dizinine yazılmasına olanak sağlar.
Bu yaklaşım Microsoft Defender’ın ötesine uzanır; Benzer beyaz listeye alma güvenlik açıkları BitDefender, TrendMicro Antivirus Plus ve Avast’ta doğrulandı, ancak bağımsız doğrulamayı teşvik etmek için belirli ayrıntılar açıklanmadı.
DefenderWrite, ana bilgisayar yürütülebilir dosyası için TargetExePath, enjekte edilebilir kitaplık için FullDLLPath ve AV klasörü içindeki hedef yol için FileToWrite dahil olmak üzere hedeflenen işlemlere yönelik temel parametreleri destekler. İsteğe bağlı bir “c” bayrağı, DLL dosyasının belirtilen konuma uzaktan kopyalanmasını kolaylaştırır.
İkili dosyaya eşlik eden Run_Check.ps1 PowerShell betiği, C:\Windows yürütülebilir dosyalarının taranmasını ve daha fazla kullanım için beyaz listeye alınanların günlüğe kaydedilmesini otomatikleştirir.
Kullanıcılar betiği kendi ortamlarına göre özelleştirerek kırmızı takım simülasyonları veya savunma değerlendirmeleri için uygun hale getirebilirler.
GitHub deposu, yalnızca yetkili testlerde etik kullanımı vurgulayarak tam kaynak kodu ve belgeleri sağlar. X’te @TwoSevenOneT olarak aktif olan Two Seven One Three, ek sızma testleri bilgilerini paylaşıyor ve AV dayanıklılığını güçlendirmek için topluluk deneylerini teşvik ediyor.
Kötü amaçlı bir veri bir AV klasörüne yerleştiğinde, meşru dosyaları koruyan, taramalardan kaçan ve potansiyel olarak uzun vadeli kalıcılığa ulaşan aynı istisnalardan yararlanır.
Bu teknik, satıcıların beyaz listeye alma politikalarını denetlemesi ve güncellemeler sırasında daha katı süreç izolasyonu uygulaması ihtiyacının altını çiziyor. Sıfır gün güvenlik açığı olmasa da DefenderWrite, ele alınmadığı takdirde gerçek dünya saldırılarına yardımcı olabilecek sistemik açıkları ortaya çıkarır.
Kuruluşlar AV güncelleme mekanizmalarını izlemeli ve geleneksel dosya izinlerinin ötesinde katmanlı savunmaları dikkate almalıdır. Aracın açık kullanılabilirliği sayesinde, popüler antivirüs çözümlerinde daha iyi koruma sağlanması için güvenlik araştırma çevrelerinde daha geniş çapta benimsenmesini bekleyebilirsiniz.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
