Kötü amaçlı yazılımların, Elastic gibi kurumsal güvenlik satıcıları tarafından giderek daha fazla benimsenen gelişmiş çağrı yığını algılama mekanizmalarını nasıl atlayabileceğini gösteren gelişmiş bir kavram kanıtı.
Yeni Moonwalk++ tekniği, önceki yığın sahtekarlığı araştırmalarını genişletiyor ve mevcut uç nokta tespit stratejilerindeki kritik boşlukları ortaya çıkarıyor.
Kaçınma Mücadelesi
Savunmacılar, kötü amaçlı etkinlikleri tespit etmek için çağrı yığını telemetrisine giderek daha fazla güvenirken, saldırganlar da daha gelişmiş karşı önlemler geliştiriyor.
Daha önce mümkün olmadığı düşünülen bellek yeteneklerindeki kötü amaçlı yazılımları eş zamanlı olarak şifrelerken çağrı yığınlarını yanıltmaya yönelik yöntemler sunar.
Elastic Security Labs kısa süre önce, yürütme modellerini, arayan kimliğini ve bellek özelliklerini analiz ederek anormal çağrı yığınlarını tanımlamak için tasarlanmış algılama mantığını yayınladı.
Moonwalk++ birden fazla kaçınma vektörü aracılığıyla bu korumaları aşar. PoC üç önemli bypassı göstermektedir:
Çağrı Talimatı Doğrulama Atlaması: Algılama sistemleri, dönüş adreslerinden önceki talimatların meşru CALL ifadeleri olup olmadığını kontrol eder.
Araştırmacılar, beklenen konumlarda doğal olarak çağrı talimatları içeren ve sahte çerçevelerin meşru görünmesine olanak tanıyan Windows aygıtlarını belirlediler.
Modül Çözünürlüğünden Kaçınma: Önceki uygulamalar, son arayan modülünün çözülemez kalacağını varsayıyordu. Moonwalk++, kabuk kodunu OneDrive.exe gibi yasal işlemlere enjekte ederek gadget’ların sistem kitaplıkları yerine hedef işlemin görüntü tabanından alınmasına olanak tanır.
Güvenlik uzmanı Alessandro Magnosi (klezVirus) liderliğindeki araştırma, DEFCON 31’de sunulan temel Stack Moonwalk tekniğine dayanıyor.
Bellek İçi Şifreleme: Bu teknik, dağıtım sonrasında kabuk kodu bölgelerinin bellek korumalarını şifrelemek ve değiştirmek için özel ROP zincirleri kullanır
Yeni bir yığın yapısı, bu şifreleme rutinlerini görünmez yığın çerçeveleri içinde gizleyerek, devam eden şifreleme işlemlerine rağmen temiz, geri alınamaz bir çağrı yığınını korur.
Algılama Arızası
Popüler güvenlik araçlarına karşı yapılan testler endişe verici sonuçlar verdi. Hunt-Sleeping-Beacons, Get-InjectedThreadEx ve hatta Eclipse tespit algoritması bile Moonwalk++ etkinliğini tespit edemedi.
Hollows_hunter, gizleme analizi yoluyla şifrelenmiş yapıları tespit edebilse de, çağrı yığını inceleme tekniklerinin etkisiz olduğu ortaya çıktı.
Araştırma, yığın tabanlı algılamadaki temel bir zayıflığın altını çiziyor: meşru yürütme kalıpları ve bellek özellikleri hakkındaki varsayımlara dayanıyor. Bu varsayımlar başarısız olduğunda tespit mekanizmaları atlanır.
Kodun tamamı, kapsamlı teknik belgelerin yanı sıra GitHub’da “Moonwalk-” (platform kısıtlamaları nedeniyle kullanılan kısa çizgiler) adıyla mevcuttur.
Araştırmacılar, bu çalışmanın, teknikler tamamen optimize edildiğinde çağrı yığınından kaçınma yeteneklerinin derinliğini gösterdiğini ve modern uç nokta tespit stratejilerinin altında yatan mevcut varsayımlara meydan okuduğunu vurguluyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
