Güvenlik araştırmacısı Dis0RDER0X00 tarafından yeni yayınlanan bir kavram kanıtı olan OBEX, istenmeyen güvenlik ve modüllerin Windows işlemlerine yüklenmesini durdurmak için basit ama etkili bir kullanıcı modu yöntemi gösterir.
Araç, hata ayıklayıcı kontrolü altında bir hedef işlem başlatır ve yapılandırılabilir bir DLL blok listesini uygular ve belirlenmiş kütüphanelerin hem başlangıç hem de çalışma zamanı yüklerini önler.
Bir gösteri, AMSI.DLL’nin asla haritalanmamasını sağlarken OBEX yumurtlama PowerShell’i gösteriyor ve süreç içi incelemeye karşı pratik bypass potansiyelini vurguluyor.
Çağırma üzerine OBEX, hedef yürütülebilir dosyayı tanımlamak için komut satırı argümanlarını ve isteğe bağlı virgülle ayrılmış bir DLL adları listesini engellemek için ayrıştırır.
Herhangi bir liste verilmezse, antimalware tarama arabirimi kitaplığının yeni sürece yüklenmesini önlemenin varsayılanları.
OBEX daha sonra çocuk sürecini bir hata ayıklama durumunda oluşturur ve işlem başlatma sırasında derhal modül yük bildirimlerini kesmesine izin verir.
Hata Ayıklama API, bir başlangıç bağımlılığı veya dinamik bir yük kümesi çağrısı OBEX, yaklaşmakta olan bir modül yükü rapor ettiğinde, DLL adını blok listesine karşı vaka duyarsız bir şekilde karşılaştırır.
Bir eşleşme varsa, OBEX yük isteğini bastırır ve modülün işlemin adres alanında bulunmamasına neden olur.
Çocuk süreci, engellenen kütüphaneler olmadan yürütmeye devam eder ve OBEX, operatör görünürlüğü için engellenen olayları kaydeder veya rapor eder.
OBEX’in temel özellikleri
OBEX, birkaç temel yetenekle minimalizmi ve esnekliği için öne çıkıyor:
- Süreç Hata Ayıklama Kontrolü: Modül yüklerinin erken müdahalesini sağlayan hata ayıklama kontrolü altındaki argümanlarla herhangi bir işlemi ortaya çıkarır
- Yapılandırılabilir DLL engelleme: Belirli güvenlik modüllerinin hedefli önlenmesine izin veren adına özelleştirilebilir bir DLL listesini engeller
- Çift fazlı koruma: İşleme başlatma sırasında yüklenen hem başlangıç DLL’leri hem de LoadLibrary işlevleri aracılığıyla dinamik olarak yüklenen DLL’ler için çalışır
- Sıfır bağımlılıklar: Minimum ayak izi ve kolay dağıtım sağlayan harici bağımlılıkları olmayan düz C’de yazılmıştır
- Vaka duyarsız eşleşme: DLL adları, farklı adlandırma sözleşmeleri boyunca güvenilirliği artırarak duruma bakılmaksızın eşleştirilir
- Varsayılan blok listesi: AMSI.DLL’yi otomatik olarak bloke eder, özel DLL listesi verilmediğinde, EDR bypass özelliklerini hemen gösterir
- Gerçek zamanlı engelleme: İşlem yürütme sırasında modül yüklerini gerçek zamanlı olarak keser ve önler
- Doğrulama Desteği: Process modülü numaralandırması yoluyla bloke edilmiş modüllerin net bir kanıtı sağlar
OBEX, yalnızca kullanıcı modu kancalarına veya zorunlu süreç içi incelemeye güvenen savunucuların, saldırganlar işlemi başlatma parametrelerini kontrol ettiğinde seçici olarak kör edilebileceğini ortaya koyuyor.
Belirtilen DLL’lerin yüklenmesini önleyerek, rakipler telemetriden kaçabilir ve bu modüllere bağlı algılama kurallarını zayıflatabilir.
Kütüphane yük bütünlüğünü daha düşük bir seviyede uygulamak veya AMSI entegrasyonlarının sertleştirilmesi gibi çekirdek modu korumaları daha dayanıklı savunma sunar.
EDR satıcıları, çekirdek bileşenler eksik olduğunda davranışı doğrulamalı ve bütünlük uyarılarını buna göre artırmalıdır.
OBEX, görünürlüğü ve kontrolü güvenilir bir şekilde sürdürmek için derinlemesine savunma savunmasının kullanıcı modu enstrümantasyonunun ötesine uzanması gerektiğini zamanında hatırlatır.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.