Son nokta algılama ve yanıtı (EDR) ve diğer izleme çözümlerinin dinamik bağlantı kütüphanelerinin (DLL) süreçlere yüklenmesini önlemek için bir yöntem sunan OBEX adlı yeni bir kavram kanıtı (POC) aracı yayınlandı.
“Dis0rder0x00” olarak bilinen bir araştırmacı tarafından oluşturulan araç, hem bir işlemin ilk başlatılması sırasında hem de çalışma zamanında belirtilen DLL’leri engellemek için tasarlanmıştır, potansiyel olarak kötü amaçlı yazılım veya kırmızı ekip araçlarının güvenlik yazılımı tarafından algılanmadan çalışmasına izin verir.
OBEX, hata ayıklama kontrolü altında bir hedef uygulamayı başlatarak işlev görür. Bu, kritik sistem işlemlerini engellemesini sağlar. Özellikle, ntdll!LdrLoadDll DLL’lerin bir sürece yüklenmesinden sorumlu olan işlev.
Bir uygulama bir DLL yüklemeye çalıştığında, OBEX çağrıyı keser ve DLL’nin adını yapılandırılabilir bir blok listesine göre kontrol eder.
DLL listede ise, araç başarısız bir yük girişimini simüle ederek kütüphanenin sürece enjekte edilmesini önler.
DLL listede değilse, yükleme işleminin normal şekilde devam etmesine izin verilir. Bu teknik, kendi DLL’lerini davranışlarını izlemek için süreçlere enjekte etmeye dayanan güvenlik araçlarını etkili bir şekilde kör eder.
Araç C’de yazılmıştır ve harici bağımlılıkları yoktur, bu da hafif ve taşınabilir hale getirir. Varsayılan olarak, OBEX engelleyecek şekilde yapılandırılır amsi.dllAntimalware tarama arayüzü için kütüphane, ancak kullanıcılar engellemek için özel bir DLL listesi sağlayabilir.
Geliştirici, aracı GitHub’da kullanılabilir hale getirdi ve güvenlik araştırmacılarının kaçma yöntemlerini anlamaları ve test etmesi için bir teknik olarak konumlandırdı.
Güvenlik Çözümleri, API çağrılarını ve sistem davranışını izlemek için kullanıcı modu kancaları oluşturmak için DLL enjeksiyonunu yaygın olarak kullanır. OBEX gibi araçlar, bu savunmaları atlatmak için kullanılabilecek yöntemleri gösterir.
Penetrasyon testçileri ve kırmızı ekipler için değerli olmakla birlikte, bu tür araçlar savunuculara ve güvenlik satıcılarına kaçaklama teknikleri hakkında önemli bilgiler sağlar ve bu da sofistike tehditlere karşı daha esnek algılama ve koruma stratejileri geliştirmelerine yardımcı olur.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
