Yeni keşfedilen Microsoft Windows ‘fileless’ log açığı neden bir gizlilik harikasıdır?

Yeni keşfedilen Microsoft Windows ‘fileless’ log açığı neden bir gizlilik harikasıdır?

Virüsten koruma yazılımı ve izinsiz giriş tespit sistemlerinden tespit edilmekten kaçan siber saldırıların anahtarı, genellikle işletim sistemi süreçlerinden yararlanmaktır. Bu, Kaspersky araştırmacıları tarafından yakın zamanda keşfedilen dosyasız bir Windows açığının bir özelliğidir.

Dosyasız kötü amaçlı yazılım, bilgisayarın veri deposuna yeni dosyalar yazmadan bilgisayar sistemlerine saldırır. Virüsten koruma yazılımı bir sabit sürücüde kötü amaçlı yazılım taraması yaparsa, dosyasız saldırıyla ilgili herhangi bir dosya bulamaz. Siber tehdit aktörleri arasında popüler bir şaşırtma tekniğidir.Kaspersky, bu yeni istismara belirli bir isim vermedi. Kaspersky’den Denis Legezo, istismara dahil olan bazı DLL’lerin (Windows Dinamik Bağlantı Kitaplıkları) ticari sızma testi platformlarındaki araçlara benzediğini açıkladı:

“Ticari araçlarla ilgili olarak, bu kampanyada SilentBreak ve Cobalt Strike araç seti kullanımının izleri oldukça belirgin. ThrowbackDLL.dll ve SlingshotDLL.dll adlı truva atları bize SilentBreak’in çerçevesindeki araçlar olan Throwback ve Slingshot’ı hatırlatırken, dropper (sb.dll) ile ilişkili ‘sb’ üreticinin adının bir kısaltması olabilir.

Burada, ikili dosyalar içindeki birkaç .pdb yolunun projenin C:\Users\admin\source\repos\drx\ dizinini ve drxDLL.dll gibi Throwback veya Slingshot’tan sonra adlandırılmayan diğer modülleri içerdiğinden

Yeni istismar, kötü amaçlı shellkodu Windows olay günlüklerine yerleştirir. “Log4Shell” ve “Spring4Shell” gibi temel kod kitaplıklarını kullanan siber saldırılar, siber güvenlik camiasının son zamanlardaki endişeleri. Bu yüzden bu saldırıya “ThrowShell” adını vereceğiz.

“ThrowShell” nasıl çalışır?

ThrowShell saldırısı, bir kullanıcıyı Cobalt Strike modülüne sahip bir dosya indirmeye ikna ederek başlar. Kaspersky araştırmacıları bunu, araştırmacıların meşru olduğunu düşündüğü bir dosya paylaşım sitesi olan file.io aracılığıyla dağıtılan Cobalt Strike sertifikasına sahip bir RAR arşiv dosyası olarak gözlemledi. Evet, “ThrowShell” bir Truva Atı olarak başlar. Ancak ilginç bir şekilde, Firefox’ta file.io’yu ziyaret etmeye çalıştığınızda Malwarebytes Browser Guard uzantısı siteyi şüpheli bir kimlik avı alanı olarak engeller.

Truva atlarıyla birlikte algılama önleyici sarmalayıcılar kullanılır. MSVC, Go derleyici 1.17.2 ve MinGW altındaki GCC, araştırmacıların gördüğü derleyicilerdir.

RAR dosyası ayıklandıktan ve içeriği yürütüldükten sonra, saldırganın hedeflenen cihaza ek kötü amaçlı DLL’ler göndermesi çok daha kolaydır.

Werfault.exe, ThrowShell tarafından kod enjeksiyonu için hedeflenen ilk Windows yürütülebilir dosyasıdır. Windows 10 ve Windows 11’de Microsoft Windows Hata Raporlama Hata Raporlayıcısıdır. Sürecin Windows’ta sunduğu önemli rol, dosyanın uç nokta güvenlik uygulamalarında beyaz listeye alınmasını sağlar. Neredeyse svchost.exe’yi kullanmak kadar sinsi.

Kötü amaçlı yürütülen kod, araştırmacıların imzalanmış herhangi bir meşru kod görmediği “Fast Invest” adlı bir uygulama için bir sertifika ile imzalandı. Ayıklandıktan, şifresi çözüldüğünde ve imzalandıktan sonra ThrowShell’in kötü niyetli kodu, Cobalt Strike pentesting yazılımıyla damlalık enjeksiyonu yoluyla Windows içinde yayılır. Windows’un tüm desteklenen sürümleri için ana dosya yöneticisi olan Explorer.exe, ThrowShell’in kod enjeksiyonu için hedeflediği işlemlerden biridir. Dosyasız kötü amaçlı yazılım genellikle böyle çalışır; sıradan işletim sistemi süreçlerine kötü amaçlı kod enjekte edin ve bu şekilde yürütün.

Çeşitli sıradan Windows DLL’leri ve süreçleri aracılığıyla yayılırken, kabuk kodu sonunda Windows olay günlüklerine eklenir. Araştırmacılar, şu anda bellekte çalışan işlemlerde MachineGUID, bilgisayar adları, yerel IP adresleri, işletim sistemi sürümü, CPU mimarisi ve SeDebugPrivilege durumu için ThrowShell parmak izi Windows hedeflerini gördüler.

Bunların hepsi, istemci Windows hedeflerine bulaşmanın, doğrudan belleğe girmenin, algılamadan kaçınmanın, kalıcılık oluşturmanın ve doğrudan Windows kabuğuna bir arka kapı sağlamanın gerçekten gizli bir yoludur. Bu güvenlik açığı, saldırganın yönetici ayrıcalıklarıyla her türlü kötü amaçlı etkinliği gerçekleştirmesinin kolay bir yolu ile bir Windows istemcisinde aylarca veya daha uzun süre kalabilir.

 

 

Yorum yok

Yorum yaz

Yorum
İsim
E-Mail
Website

Inforte Bilişim A.Ş. tarafından işbu form ile elde edilen kişisel verileriniz esas olarak iş süreçlerimizin iyileştirilmesine yönelik çalışmaların yürütülmesi amacıyla işlenebilecek ve yurt dışında yerleşik hosting firmamıza aktarılabilecektir. Mevzuat kapsamındaki haklarınız ile ilgili diğer detaylara ilişkin aydınlatma metnine buradan erişebilirsiniz.