Windows makinelerindeki Uç Nokta Algılama ve Yanıt (EDR) sensörlerini devre dışı bırakmak için Windows Defender Uygulama Denetimi’ni (WDAC) silah haline getiren karmaşık bir saldırı tekniği.
Windows 10 ve Windows Server 2016 ile tanıtılan bir teknoloji olan WDAC, kuruluşlara Windows cihazlarındaki yürütülebilir kodlar üzerinde ayrıntılı kontrol sağlamak üzere tasarlandı.
Ancak güvenlik uzmanları, kötü niyetli aktörlerin bu özelliği kendi yararlarına kullanabileceğini ve potansiyel olarak tüm ağı saldırılara karşı savunmasız bırakabileceğini keşfetti.
MITRE ATT&CK çerçevesinin “Savunmayı Zayıflatma” kategorisi (T1562) kapsamına giren teknik, yönetici ayrıcalıklarına sahip saldırganların özel olarak tasarlanmış WDAC ilkeleri oluşturmasına ve dağıtmasına olanak tanır.
Bu politikalar, EDR sensörlerinin sistem önyüklemesi sırasında yüklenmesini etkili bir şekilde engelleyebilir, onları çalışmaz hale getirebilir ve rakiplerin bu kritik güvenlik çözümlerinin kısıtlamaları olmadan çalışmasına olanak tanıyabilir.
Saldırı, tek tek makineleri hedef almaktan etki alanlarının tamamını tehlikeye atmaya kadar çeşitli şekillerde gerçekleştirilebilir. En ciddi senaryolarda, etki alanı yöneticisi ayrıcalıklarına sahip bir saldırgan, kötü amaçlı WDAC politikalarını kuruluş genelinde dağıtabilir ve tüm uç noktalarda EDR sensörlerini sistematik olarak devre dışı bırakabilir.
KOBİ’ler ve MSP’ler için 2024 MITRE ATT&CK Değerlendirme Sonuçları -> Ücretsiz Kılavuzu İndirin
Saldırı Nasıl Çalışır?
Saldırı üç ana aşamadan oluşuyor:
- Politika Yerleştirme: Saldırgan, güvenlik çözümlerini engellerken kendi araçlarının çalıştırılmasına izin veren özel bir WDAC politikası oluşturur. Bu politika daha sonra
C:\Windows\System32\CodeIntegrity\hedef makinedeki dizin. - Yeniden Başlatma Gereksinimi: WDAC politikaları yalnızca yeniden başlatmanın ardından geçerli olduğundan, saldırgan yeni politikayı uygulamak için uç noktayı yeniden başlatır.
- EDR’yi devre dışı bırakma: Yeniden başlatmanın ardından kötü amaçlı politika devreye girerek EDR sensörünün başlatılmasını engeller ve sistemi daha fazla riske açık hale getirir.
Bu saldırı vektörü için özel olarak tasarlanmış “Krueger” adlı bir kavram kanıtlama aracı zaten ortaya çıktı. Güvenlik araştırmacısı Logan Goins tarafından oluşturulan Krueger, istismar sonrası faaliyetlerin bir parçası olarak hafızada çalıştırılabilir ve bu da onu bir saldırganın cephaneliğinde güçlü bir silah haline getirir.
Meşru Windows özelliklerinin kullanılması nedeniyle bu saldırının tespit edilmesi zor olsa da, uzmanlar çeşitli hafifletme stratejileri önermektedir.
Bunlar, grup ilkesi yoluyla WDAC ilkelerinin uygulanmasını, kod bütünlüğü klasörleri ve SMB paylaşımlarına yönelik izinlerin kısıtlanmasını ve ağ yönetiminde en az ayrıcalık ilkesine bağlı kalmayı içerir.
Azaltma Stratejileri
Kuruluşlar aşağıdakileri yaparak bu tehdide maruz kalma durumlarını azaltabilirler:
- GPO’lar aracılığıyla WDAC Politikalarını Uygulama: Yerel değişiklikleri geçersiz kılan merkezi WDAC politikalarını dağıtarak kötü amaçlı politikaların etkili olmamasını sağlayın.
- En Az Ayrıcalık İlkesinin Uygulanması: WDAC ilkelerini değiştirme, SMB paylaşımlarına erişme veya hassas klasörlere yazma izinlerini kısıtlayın.
- Güvenli Yönetim Uygulamalarının Uygulanması: Microsoft’un Yerel Yönetici Parola Çözümü (LAPS) gibi araçları kullanarak yerel yönetici hesaplarını devre dışı bırakın veya güvenliğini sağlayın.
Fortune 500 şirketlerinden birinin CISO’su Mark Johnson, “Kuruluşların bu tehdidin farkında olması ve proaktif önlemler alması gerekiyor” diye uyardı. “Güçlü erişim kontrollerinin uygulanması ve WDAC politikalarının düzenli olarak denetlenmesi artık her zamankinden daha önemli.”
Güvenlik araçları daha karmaşık hale geldikçe, bunları alt üst edecek yöntemler de aynı şekilde gelişiyor. Siber güvenliğe yönelik çok katmanlı bir yaklaşıma ve ortaya çıkan saldırı teknikleri karşısında sürekli tetikte olmaya duyulan ihtiyacın altını çiziyor.
Siber güvenlik topluluğu bu yeni tehditle boğuşurken, kuruluşların güvenlik duruşlarını gözden geçirmeleri ve uygun koruma önlemlerine sahip olduklarından emin olmaları isteniyor.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin