DLL ele geçirme, kötü amaçlı bir DLL’nin (Dinamik Bağlantı Kitaplığı), savunmasız bir uygulamanın yasal olandan önce aradığı bir dizine yerleştirildiği bir tekniktir.
Uygulama başlatıldığında, farkında olmadan kötü amaçlı DLL dosyasını yükleyerek saldırganların şunları yapmasına olanak tanır: –
- Rastgele kod yürüt
- Sistemi tehlikeye at
Son zamanlarda, çok katmanlı bir olay müdahale şirketi olan Security Joes’un siber güvenlik araştırmacıları, tehdit aktörlerinin Windows mekanizmalarını atlamasına olanak tanıyan yeni bir DLL ele geçirme tekniği keşfetti.
Yeni DLL Ele Geçirme Tekniği
Bu yeni teknik, DLL Arama Sırasının Ele Geçirilmesi’ni kullanarak güvenilir WinSxS yürütülebilir dosyalarından yararlanır.
Bu, tehdit aktörlerinin Windows klasörleri içinde kötü amaçlı kod yürütmesine olanak tanır ve bu da ekstra ikili dosyalara olan ihtiyacı ortadan kaldırır.
Bunun yanı sıra, yüksek ayrıcalık gereksinimlerini atladığı için hem Windows 10 hem de 11 ile uyumludur.
DLL Arama Sırasının Ele Geçirilmesi, Windows uygulamalarının DLL’leri yükleme biçiminden yararlanarak, belirtilen dosya yolları olmayanlardan yararlanır.
Tehdit aktörleri, kötü amaçlı bir DLL dosyasını öncelikli bir dizine yerleştiren önceden tanımlanmış arama emirlerine bağlı olarak uygulamaları yönetir.
Bunun için birçok yöntem, genellikle geliştirme gözetiminden dolayı uygulamaların tam yolları belirtmemesini gerektirir.
Windows’un DLL’leri ve yürütülebilir dosyaları nasıl yüklediğini bilmek en önemli şeylerden biridir ve sistem, yükleme işlemi sırasında bir sıra izler.
Bu, DLL’ler gibi gerekli bileşenleri bularak verimli çalışmayı sağlar. Sadece bu değil, aynı zamanda kaynak bulmak için alternatif bir yöntem de sunuyor.
Bunun yanı sıra, kaynakları aramak ve yüklemek için Windows işletim sistemi akışı aşağıdakileri içerir: –
- Uygulamanın başlatma dizini
- C:\Windows\System32
- C:\Windows\Sistem
- C:\Windows
- Geçerli çalışma dizini
- Sistemdeki dizinler
- Kullanıcının PATH değişkenleri
Yükleme sürecinden yararlanmak, tehdit aktörlerinin güvenilen süreçlere yetkisiz kod eklemesine olanak tanır ve bu da aşağıdakilerin aldatılmasına yardımcı olur:-
- Güvenlik araçları
- Güvenlik uzmanları/analistleri
Bu yeni kötü amaçlı teknik, tehdit aktörlerinin aşağıdakiler gibi çeşitli kötü amaçlı hedeflere ulaşmasını sağladığından tamamen karmaşık ve gizlidir: –
- Uzlaşma sistemleri
- Tespitten kaçınmak
WinSxS klasörü, Windows işletim sistemindeki “C:\Windows\WinSxS” konumundaki kritik bir bileşendir. Bu hayati bileşen, sistem dosyalarının birden çok sürümünü önemli ölçüde korur.
Sadece bu değil, aynı zamanda güncellemeler sırasında önceki sürümleri de korur, bu da klasörün Windows işletim sistemi için her güncellemede büyümesine neden olur.
Aşağıda WinSxS klasörünün tüm temel amaçlarından bahsettik: –
- Sürüm Yönetimi
- Sistem Bütünlüğü
- Dinamik Aktivasyon
Avantajları Yeni DLL ele geçirme tekniği
Aşağıda, bu yeni DLL ele geçirme tekniğinin tüm önemli avantajlarından bahsettik: –
- Yüksek Ayrıcalık Gereksinimlerini Atlamak
- Ek İkili Dosya İhtiyacının Ortadan Kaldırılması
- Gizliliği Artırma
PoC
Aşağıda Konsept Kanıtı videosundan bahsettik: –