Siber güvenlik araştırmacıları, Windows’un Bağlama Filtresi ve Bulut Filtresi sürücülerinden yararlanarak Uç Nokta Tespit ve Yanıt (EDR) sistemlerini atlayabilen, EDR-Redir adında yeni ve gelişmiş bir araç geliştirdi.
Bu teknik, çekirdek ayrıcalıkları gerektirmeden tamamen kullanıcı modunda çalışan kaçınma yöntemlerinde önemli bir ilerlemeyi temsil ediyor.
Windows 11 sürüm 24H2’de sunulan Windows Bağlama Bağlantısı özelliği, sanal yollar kullanılarak dosya sistemi ad alanının yeniden yönlendirilmesine olanak tanır.
Bu işlevsellik, yöneticilerin, dosyaları fiziksel olarak kopyalamadan, yerel sistemlerdeki sanal yolları yedekleme yollarıyla eşlemelerine olanak tanır. Bağlama Filtresi sürücüsü (bindflt.sys), bu yeniden yönlendirmeyi uygulamalara şeffaf bir şekilde işler.
Bağlama bağlantısı sistemi, dosya sistemi erişimini yeniden yönlendiren sanal yol eşleme, uygulama farkındalığı gerektirmeden şeffaf çalışma, yedekleme yollarından güvenlik devralma ve fiziksel dosyalar oluşturmadan mantıksal eşleme sunar.
EDR-Redir Sistem Açıklarından Nasıl Yararlanıyor?
Geleneksel EDR sistemleri, kurcalamayı önlemek için yürütülebilir dosya konumlarının etrafında güçlü bir koruma sağlar.
Ancak EDR-Redir, EDR yürütülebilir dosyalarını içeren klasörleri saldırganın kontrolündeki konumlara yeniden yönlendirmek için bağlama bağlantısı işlevinden yararlanır. Bu yaklaşım, EDR’lerin sembolik bağlantı yönlendirme saldırılarına karşı kullandığı mevcut korumaları atlar.
Araç, saldırganın kontrolü altında gerçek yollara işaret eden sanal yollar oluşturarak çalışır. EDR-Redir bu bağlama bağlantılarını oluşturduğunda, işlemler yöneticilerin EDR yürütülebilir klasörleri için doğası gereği sahip olduğu “AÇIK” ve “OKU” işlevleriyle sınırlıdır.
Bu teknik, genellikle ayrıcalıklı hizmetlerin sym bağlantılarını takip etmesini engelleyen Yönlendirme Koruması korumalarını atlar.
Güvenlik araştırmacıları, EDR-Redir’i kullanarak birden fazla ticari EDR çözümüne karşı değişen başarılarla deneyler gerçekleştirdi.
Windows Defender’ın temel bağlama bağlantısı yaklaşımına dirençli olduğunu kanıtlaması araştırmacıları Bulut Filtresi API’sini kullanarak alternatif bir yöntem geliştirmeye yöneltti.
Elastic Defend’e karşı yapılan testler, EDR’nin yürütülebilir klasörünün saldırgan tarafından kontrol edilen bir yola başarıyla yönlendirildiğini gösterdi.
Benzer şekilde, Sophos Intercept X ile yapılan deneyler, EDR’nin çalışma dizini üzerinde tam kontrole olanak tanıyan başarılı klasör yeniden yönlendirmesini gösterdi.
Araştırmacılar, Windows Defender gibi dirençli sistemler için cldflt.sys sürücüsü aracılığıyla Windows Bulut Filtresi API’sini (CFAPI) kullandılar.
Bu yaklaşım, bir senkronizasyon kök klasörünü minimum politikalarla kaydetmeyi, hedef klasörü etkili bir şekilde bozmayı ve temel dosyalara EDR erişimini engellemeyi içerir.
Bulut Filtresi yöntemi, senkronizasyon kök klasörlerinin sistem yeniden başlatıldıktan sonra da devam etmesi ve geleneksel bağlama bağlantılarının gerektirdiği kalıcılık mekanizmalarına olan ihtiyacı ortadan kaldırması nedeniyle özellikle etkili olduğunu kanıtlıyor.
Saldırganlar EDR klasörleri üzerinde kontrolü ele geçirdikten sonra, DLL ele geçirme, yürütülebilir dosyaları EDR yürütmesi için yerleştirme veya EDR süreçlerini ve hizmetlerini tamamen devre dışı bırakma gibi çeşitli kötü amaçlı etkinlikleri gerçekleştirebilirler.
Teknik, mini filtre sürücüsü seviyesinde çalışarak izleme için sınırlı kullanıcı modu olayları üretir.
EDR-Redir’e karşı savunma, öncelikle EDR satıcılarının kurulum klasörleri için koruma mekanizmalarını geliştirmesini ve izleme uygulamasını gerektirir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.