RSAC

Günümüz sistemlerinde eski güvenlik açıklarından faydalanan yazılımlar

Araştırmacılar, siber suçluların, günümüz bilgisayarlarına güncelliğini yitirmiş ikili dosyaları (binary) indirmek ve bu dosyalardaki güvenlik açıklarından faydalanmak için kullandığı yeni taktiği ele alıyor.

Nikolay Pankov
Mayıs 28, 2021

Zarar vermek amacıyla yasal programları veya işletim sistemi işlevlerini kullanan Living off the Land–türü (LotL) saldırıları yeni karşılaşılan bir şey değil, ancak LotL saldırılarına duyarlı modern yazılımları takip eden uzmanlar nedeniyle siber suçlular bu konuda yeniliğe gitmek zorunda kaldılar. Araştırmacılar Jean-Ian Boutin ve Zuzana Hromcova, 2021 RSA Konferansı‘nda yaptıkları konuşmada, saldırılarda yasal Windows XP bileşenlerinin ve programlarının kullanımı gibi bir yenilikten bahsetti.

Living off the Land ve güvenlik açıklarına sahip Windows XP bileşenleri

InvisiMole grubunun faaliyetlerini inceleyen Boutin ve Hromcova, grubun fark edilmemesinde, InvisiMole araçlarının, uzun süredir kullanılmayan işletim sistemi dosyalarından faydalanmasının etkili olduğuna dikkat çekti. Araştırmacılar genel anlamda bu dosyalara, güvenlik çevrelerinde Living off the Land saldırılarında kullanılan dosyaları ifade etmek için kullanılan LOLBins’e benzer şekilde VULNBins adını verdiler.

Elbette, kurbanın bilgisayarına güncel olmayan bir dosyayı indirmek için söz konusu bilgisayara erişim gerekiyor. Ancak VULNBin’ler genellikle sisteme tamamen sızmak yerine, hedeflenen bir sistemde fark edilmeden kalıcılık sağlamak için kullanılıyor.

Güncel olmayan programların ve sistem bileşenlerinin kullanımına ilişkin spesifik örnekler

Bir saldırganın yönetici haklarını elde edememesi halinde sistemde kalıcılığı sağlamak için kullanabileceği taktiklerden biri, bilinen bir arabellek taşması (buffer overflow) güvenlik açığına sahip eski bir video oynatıcısından faydalanmasıdır. Siber suçlular saldırının bir sonraki aşaması için gereken kodu yüklemek amacıyla Windows Görev Zamanlayıcı üzerinden, güvenlik açığından faydalanacak şekilde yapılandırma dosyası değiştirilmiş video oynatıcıyı çağıran, düzenli olarak çalıştırılan bir görev oluşturuyorlar.

InvisiMole saldırganları bir şekilde yönetici haklarını elde etmeyi başardıklarında, yasal sistem bileşeni setupSNK.exe, Windows XP kitaplığı wdigest.dll ve kitaplığı çalıştırmak için gereken Rundll32.exe’yi (bu da eski sistemden gelen bir dosya) kullanan başka bir yöntemi kullanabiliyorlar. Ardından kütüphanenin belleğe yüklediği verileri değiştiriyorlar. Kitaplık, ASLR teknolojisinin uygulanmasından önce oluşturulduğu için siber suçlular, verilerin bellekte yükleneceği tam adresi biliyorlar.

Kötü amaçlı veri yükünün çoğunu kayıt defterinde şifrelenmiş biçimde depoluyorlar ve bunu yaparken tamamen yasal kitaplıkları ve yürütülebilir dosyaları kullanıyorlar. Bu nedenle, kullanılan yöntemdeki kötü amaçlı tek şey, oynatıcının yapılandırma ayarlarının bulunduğu dosya ve eski kütüphanelerdeki açıktan faydalanan küçük bir yazılımdır. Genellikle bu, bir güvenlik sisteminin dikkatini çekecek kadar şüphe yaratan bir durum değildir.

Güvenliğinizi nasıl sağlayabilirsiniz?

Bu tür dosyaların yer aldığı bir veri tabanının bulunması, siber suçluların eski dosyaları ve güncel olmayan sistem bileşenlerini (özellikle yasal bir yayıncı tarafından imzalanmış olanları) kullanmasının önüne geçmek adına iyi bir başlangıç noktası olacaktır. Bu, sahip olduğunuz mevcut savunmaların onları engellemesini veya en azından (herhangi bir nedenle engellemek mümkün değilse) izlemesini sağlar. Ancak bu ileriye yönelik bir çözümdür.

Böyle bir veri tabanı oluşturulana kadar, EDR sınıfı çözümümüzü kullanarak aşağıdaki önlemleri alın:

Sistem klasörünün dışında bulunan Windows bileşenlerinin yürütülmesini tespit edin ve engelleyin,
İmzasız sistem dosyalarını tanımlayın (bazı sistem dosyaları benzersiz bir dijital imza yerine bir katalog dosyasıyla imzalanır, ancak gerekli .cat dosyasına sahip olmayan bir sisteme taşınan sistem dosyası imzasız kabul edilir),
İşletim sistemi sürümü ile her yürütülebilir dosyanın sürümü arasındaki farkı tespit etmek için bir kural oluşturun,
Diğer uygulamalar için de — örneğin, 10 yıldan daha uzun bir süre önce derlenmiş dosyaların yürütülmesini engellemek için — benzer bir kural oluşturun.

Bahsettiğimiz gibi saldırganların, bir kurbanın bilgisayarına bir şey indirebilmesi için önce söz konusu bilgisayara erişim sağlamaları gerekir. Herhangi bir VULNBins’in iş istasyonlarınıza ulaşmasını önlemek için, internet erişimine sahip tüm cihazlara güvenlik çözümleri yükleyin, günümüz siber tehditleri konusunda çalışan farkındalığını artırın ve uzaktan erişim araçlarını yakından izleyin.

Bir dinleme cihazına dönüşen televizyon kumandası

2021 RSA Konferansı’nda araştırmacılar, bir Comcast Xfinity uzaktan kumandasını nasıl bir dinleme cihazına dönüştürdüklerini anlattılar.

Gizlilik ve Çocuklar

Hedeflenen Güvenlik Çözümleri

Günümüz sistemlerinde eski güvenlik açıklarından faydalanan yazılımlar

Living off the Land ve güvenlik açıklarına sahip Windows XP bileşenleri

Güncel olmayan programların ve sistem bileşenlerinin kullanımına ilişkin spesifik örnekler

Güvenliğinizi nasıl sağlayabilirsiniz?

Zoom’un uçtan uca şifrelemeye nasıl geçti?

Ağa bağlı IoT cihazlarını mı korumalı yoksa ağı IoT cihazlarından mı?

Bir dinleme cihazına dönüşen televizyon kumandası

İpuçları

Akılcı bir yol: çocuklarınızın ilk cihazı için ebeveyn rehberi

Çocukların ilk cihazı için ebeveyn kontrol listesi

Kaspersky’ye geçiş: adım adım geçiş kılavuzu

Patron mu, dolandırıcı mı? Patronunuzdan gelen emirler gibi gösterilen dolandırıcılık

Başlıklarımızı gelen kutunuza almak için kaydolun

Ev Çözümleri

Küçük Ölçekli İşletme Ürünleri

Orta Ölçekli İşletme Ürünleri

Kurumsal Çözümler

Securelist

Eugene Personal Blog