
“Bekleme İplik Kaçırımı” (WTH) olarak bilinen sofistike yeni bir kötü amaçlı yazılım tekniği, siber güvenlik savunmaları için önemli bir tehdit olarak ortaya çıkmıştır.
14 Nisan 2025’te ortaya çıkan bu gizli süreç enjeksiyon yöntemi, klasik iş parçacığı yürütme kaçırma yaklaşımının bir evrimini temsil eder, ancak modern güvenlik çözümlerinin tespitinden kaçınmak için çok daha zor bir metodoloji kullanır.
Proses enjeksiyon teknikleri uzun zamandır kötü amaçlı yazılım cephaneliğinde bir temel olmuştur ve saldırganların kötü amaçlı modülleri meşru süreçler içinde gizlemesine izin vermektedir.
Bekleyen iş parçacığının kaçırılmasını özellikle ilgili kılan şey, geleneksel yöntemleri işaretleyecek tipik uyarıları tetiklemeden enjekte edilen kodu yürütme yeteneğidir.
Sıralama ve yeniden kullanma gibi kolayca izlenen API’leri kullanarak iş parçacıklarının askıya alınmasını ve devam ettirilmesini gerektiren geleneksel iş parçacığı ele geçirmesinden farklı olarak, zaten bekleme durumunda iş parçacıklarını hedefler ve şüpheli iplik manipülasyonu ihtiyacını ortadan kaldırır.
Teknik, belirli olaylar üzerinde etkinleştirilmeye hazır çok sayıda bekleme ipliği içeren Windows iş parçacığı havuzlarından yararlanarak çalışır.
Saldırganlar, yeni iş parçacıkları oluşturmak veya aktif olanları manipüle etmek yerine, uykuda bekleme iş parçacıklarını belirler ve iade adreslerini işaretçilerle değiştirirler.
Bu iş parçacıkları doğal olarak yürütmeye devam ettiklerinde, normal işlemlerine dönmeden önce farkında olmadan enjekte edilen kodu yürütürler.
Kontrol noktası araştırmacıları, Windows sistemlerindeki iş parçacığı davranışının kapsamlı analizi yoluyla bu tekniği tanımladılar.
Bulgularına göre, WTH önemli ölçüde daha az şüpheli API çağrısı gerektirir, bu da uç nokta algılama ve yanıt (EDR) sistemlerinin tespit edilmesini özellikle zorlaştırır.
Yöntem, daha şüpheli ve izlenen Thread_Set_Context veya Thread_suspend_resume izinleri yerine yalnızca temel işlem tutucu erişim izinleri (process_vm_operation, process_vm_read, işlem_vm_read, işlem_vm_write, iş parçacıkları için thread_get_context) gerektirir.
Teknik, bellek işlemlerini kapsamlı bir şekilde analiz etmek yerine belirli API dizilerini izlemeye odaklanan güvenlik ürünlerine karşı özellikle etkilidir.
Saldırıyı birden fazla süreçte bölerek, saldırganlar kötü niyetli davranışı daha da gizleyebilir, her çocuk işlemi enjeksiyon dizisinin farklı bir adımını kullanır.
Teknik uygulama
WTH’nin kaçınma kapasitesinin çekirdeği, özellikle Wrqueue Bekleme Sebepleri ile bekleyen ipliklerden yararlanmasında yatmaktadır.
Bu iş parçacıkları, belirli olayların yürütülmesini bekleyen NTremoveiOcompletion veya ntwaitforworkViaWorkerFactory gibi sistem çağrılarının içinde duraklatılır.
Saldırı, bu tür iş parçacıklarını tanımlar, bağlamlarını alır ve yığınlarındaki iade adresini bir işaretçi ile kötü amaçlı kodlara stratejik olarak değiştirir.
bool run_injected(DWORD pid, ULONGLONG shellcodePtr, KWAIT_REASON wait_reason)
{
// Enumerate threads and find one in the waiting state
// ...
for (auto itr = threads_info.begin(); itr != threads_info.end(); ++itr) {
thread_info& info = itr->second;
if (info.ext.state == Waiting && info.ext.wait_reason == wait_reason) {
ULONGLONG ret = read_return_ptr(hProcess, ctx.Rsp);
// Verify target is suitable
if (check_ret_target((LPVOID)ret)) {
suitable_ret_ptr = ctx.Rsp;
suitable_ret = ret;
break;
}
}
}
// Overwrite return address
// ...
}
Teknik, iplikleri askıya almaktan kaçınır ve bunun yerine bekleme ipliklerinin doğal aktivasyonuna dayanır.
.gif)
Bekleyen iş parçacığı bekleme durumunu tamamladıktan sonra, işlem kararlılığını koruyarak orijinal işlevine sorunsuz bir şekilde dönmeden önce kötü amaçlı kodu yürütür.
WTH’yi özellikle tehlikeli kılan, basitliği ve meşru yazılımlarda görünen ortak API’lerin kullanılmasıdır, bu da statik analiz yoluyla tespit edilmeyi zorlaştırır.
Teknik, diğer enjeksiyon yöntemlerini engelleyen bazı EDR çözümlerini atlamada zaten etkili olduğu kanıtlanmıştır, ancak tek bir teknik tüm savunmalara karşı evrensel olarak başarılı değildir.
Checkpoint, müşterilerini ortaya çıkan bu tehditten korumak için “WaitingThreadhiJackBlock” adlı belirli davranış koruma korumalarını geliştirdi ve dağıttı.
Equip your team with real-time threat analysis With ANY.RUN’s interactive cloud sandbox -> Try 14-day Free Trial