Gelişimde, Trellix’teki siber güvenlik araştırmacıları, sistem korumalarını atlamak için meşru bir antivirüs sürücüsünü kullanan sofistike bir kötü amaçlı yazılım kampanyası ortaya çıkardılar.
“Kill-Floor.exe” olarak tanımlanan kötü amaçlı yazılım, çekirdek düzeyinde erişim elde etmek, güvenlik yazılımını etkili bir şekilde nötralize etmek ve enfekte sistemlerin kontrolünü ele geçirmek için Avast Anti-Rootkit anti-rota’yı (Aswarpot.sys) kullanır.
Bu taktik, saldırganların kötü niyetli faaliyetler yürütmek için güvenilir ancak kusurlu sürücüleri silahlandırdığı “kendi savunmasız sürücünüzü getir” (BYOVD) saldırılarının artan eğilimini vurgulamaktadır.
Enfeksiyon zinciri ve sömürü
Enfeksiyon, kötü amaçlı yazılımların Avast anti-rootkit sürücüsünü bir Windows dizinine “ntfs.bin” adlı meşru bir dosya kisvesi altında bırakmasıyla başlar.
Hizmet Kontrol Yardımcı Programını (SC.EXE) kullanarak, kötü amaçlı yazılım sürücüyü bir hizmet olarak kaydeder ve sınırsız çekirdek seviyesi ayrıcalıkları verir.
Bu erişim, kritik güvenlik süreçlerini sonlandırmasını, uç nokta algılamasını ve yanıtları (EDR) çözümlerini devre dışı bırakmasını ve kurcalama koruma mekanizmalarından kaçmasını sağlar.
Operasyonel olduğunda, kötü amaçlı yazılım sonsuz bir döngü girer ve sistemdeki aktif işlemleri izler.
Bu süreçleri, güvenlik ile ilgili 142 süreç adının sabit kodlu bir listesiyle karşılaştırır.
Bir eşleşme bulunursa, kötü amaçlı yazılım AVAST sürücüsü ile CihaziOcontrol API ve belirli bir IOCTL kodunu (0x998C094) kullanarak etkileşime girer.
Bu kod, sürücüye hedeflenen güvenlik süreçlerini çekirdek düzeyinde sonlandırmasını ve sistem savunmalarını etkili bir şekilde sökmesini söyler.
Silahlandırıcı çekirdek ayrıcalıkları
Başlangıçta sistemleri korumak için tasarlanan Avast karşıtı rootkit sürücüsü, bu kampanyada yıkım için bir araç haline geliyor.
Çekirdek modu özelliklerinden yararlanarak, kötü amaçlı yazılım kullanıcı modu kısıtlamalarını geçersiz kılar ve KeattachProcess ve ZwterusinateProcess gibi Windows çekirdek işlevlerini kullanarak işlem sonlandırma gibi eylemler gerçekleştirir.
Bu manipülasyon, BYOVD saldırılarında kullanılmayan savunmasız sürücülerle ilişkili risklerin altını çizmektedir.
Bu tür tehditlere karşı koymak için kuruluşların sağlam BYOVD koruma mekanizmaları benimsemeleri tavsiye edilir.
Bunlar, savunmasız sürücüleri benzersiz imzalarına veya karmalarına göre tespit eden ve engelleyen uzman kurallarını dağıtmayı içerir.
Örneğin, Trellix, Aswarpot.sys gibi uzlaşma sürücülerinin yürütülmesini önlemek için belirli algılama kurallarının EDR veya antivirüs çözümlerine entegre edilmesini önerir.
Bu tür önlemler, sürgün oluşturma, ayrıcalıkları yükseltme veya çekirdek seviyesi istismarları yoluyla güvenlik yazılımını devre dışı bırakma girişimlerini engelleyebilir.
Bu kampanyaya bağlı temel göstergeler arasında iki MD5 karma bulunur:
- 40439F39F0195C9C7A3B519554AFD17A (öldürme-sloor.exe)
- A179C4093D05A3E1EE73F6FF07F994AA (ntfs.bin)
Bu eserler, potansiyel enfeksiyonları tespit etmek için güvenlik ekipleri tarafından yakından izlenmelidir.
Bu keşif, güvenilir bileşenlerin rakipler tarafından nasıl silahlandırılabileceğini ve meşru ancak savunmasız yazılım bileşenlerinden yararlanan gelişmiş tehditlere karşı proaktif savunma önlemlerine duyulan ihtiyacı vurgulayarak daha açık bir hatırlatma görevi görüyor.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free