Saldırganların popüler Uç Nokta Tespit ve Yanıt (EDR) çözümlerinin yürütülebilir klasörlerini yeniden yönlendirmesine veya izole etmesine olanak tanıyan EDR-Redir adlı yeni bir araç ortaya çıktı.
Siber güvenlik araştırmacısı TwoSevenOneT tarafından gösterilen teknik, çekirdek düzeyinde erişim gerektirmeden EDR korumalarını zayıflatmak için Windows’un Bağlama Filtresi sürücüsünden (bindflt.sys) ve Bulut Filtresi sürücüsünden (cldflt.sys) yararlanıyor.
Kendi Savunmasız Sürücünüzü Getirin (BYOVD) yaklaşımına dayanan bu kullanıcı modu istismarı, saldırganların savunmaları devre dışı bırakmasına, kötü amaçlı kod yerleştirmesine veya süreçleri ele geçirmesine olanak tanıyarak sistemleri tespit edilemeyen izinsiz girişlere karşı savunmasız bırakabilir.
Güvenlik açığı, Windows 11’in 24H2 sürümünde sunulan Bağlama Bağlantısı özelliğinden kaynaklanıyor. Bağlama Bağlantıları, binflt.sys mini filtre sürücüsü tarafından yönetilen sanal yollar aracılığıyla dosya sistemi ad alanı yeniden yönlendirmesini sağlar.
EDR’lerin Microsoft’un RedirectionGuard gibi mekanizmaları kullanarak aktif olarak izlediği ve engellediği geleneksel sembolik bağlantıların aksine, Bağlama Bağlantıları sürücü düzeyinde şeffaf bir şekilde çalışır.
Sanal yolları, fiziksel dosyalar oluşturmadan yerel veya uzak gerçek yollarla eşlerler, izinleri hedeften devralırken çoğu uygulamada görünmez kalırlar.
Bu incelik, yönetici ayrıcalıklarına sahip saldırganların, genellikle yazma işlemlerine karşı kilitlenen korumalı EDR klasörleri üzerinde okuma ve açma işlemleri gerçekleştirmesine olanak tanır.
GitHub’da açık kaynaklı bir araç olarak sunulan EDR-Redir, basit komutlarla süreci basitleştirir. Örneğin, “EDR-Redir.exe bağlama C:\TMP\123 C:\TMP\456” komutunu çalıştırmak, C:\TMP\123 konumunda tüm etkileşimleri C:\TMP\456’ya yönlendiren sanal bir yol oluşturur.
Araştırmacı bunu birden fazla EDR’ye karşı test etti. Araç, Elastic Defend ve Sophos Intercept X ile çalıştırılabilir klasörleri saldırganın kontrolündeki konumlara başarıyla yönlendirdi.
Düşmanlar yeniden yönlendirildikten sonra, işlem ele geçirmek için DLL’leri bırakabilir, kötü amaçlı yürütülebilir dosyalar ekleyebilir veya yeniden başlatma sırasında EDR işlemlerini durdurmak için klasörü boşaltabilir. Özellikle, bu Bağlantı Bağlantıları yeniden başlatmalarda devam etmez ve otomasyon için zamanlanmış bir görev veya hizmet gerektirir.
Windows Defender’ı Bulut Filtresi Püf Noktalarıyla Atlamak
Windows Defender, muhtemelen entegre korumaları nedeniyle, doğrudan Bağlama Bağlantısı yeniden yönlendirmesine karşı daha dayanıklı olduğunu kanıtladı. Ancak araştırmacı cldflt.sys tarafından desteklenen Cloud Files API’yi (CFAPI) kullanarak bir geçici çözüm geliştirdi.
OneDrive gibi senkronizasyon motorları için tasarlanan bu API, yer tutucu dosyalar aracılığıyla isteğe bağlı dosyalara erişim sağlar. CfRegisterSyncRoot’u minimum politikayla çağırarak, esasen eksik bir kayıt olan EDR-Redir, Defender klasörünü bir “senkronizasyon kökü” olarak kaydeder.
Bu, erişimi bozarak EDR’nin dizinini okumasını veya yazmasını engeller. Yeniden başlatmanın ardından Defender’ın hizmetleri başlatılamıyor ve bu da onu etkili bir şekilde izole ediyor.
Bağlama Bağlantılarından farklı olarak, bu Bulut Filtresi yöntemi ek kurulum gerektirmeden varlığını sürdürür ve bu da onu özellikle gizli kılar. Araştırmacı tarafından paylaşılan bir demo video, Defender’ın klasörünün kayıttan sonra erişilemez hale geldiğini gösteren süreci gösteriyor.
Testler, isimsiz iki ticari EDR’ye karşı benzer etkinliği doğruladı ve bu da geniş bir riskin altını çizdi.
Bu teknik giderek büyüyen bir zorluğun altını çiziyor: EDR’lerin, mini filtre etkileşimlerini incelemek için kullanıcı modu sembolik bağlantı savunmalarının ötesine geçmesi gerekiyor. Saldırganlar, EDR davranışları üzerinde tam kontrol sahibi olur ve potansiyel olarak kırmızı takım tatbikatlarında veya gerçek ihlallerde tespit edilmekten kaçınırlar.
Kuruluşlar yönetici ayrıcalıklarını denetlemeli, olağandışı sürücü yüklemelerini izlemeli ve Windows yamalarını derhal uygulamalıdır. Microsoft, Elastic ve Sophos gibi satıcıların bu API kötüye kullanımlarına karşı klasör korumalarını geliştirmeleri isteniyor.
Uç nokta tehditleri yoğunlaştıkça, EDR-Redir gibi araçlar bize güçlü savunmaların bile gözden kaçan dosya sistemi özellikleri karşısında bocalayabileceğini hatırlatır.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
