{"id":9668,"date":"2021-05-28T14:39:59","date_gmt":"2021-05-28T11:39:59","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=9668"},"modified":"2021-05-28T14:39:59","modified_gmt":"2021-05-28T11:39:59","slug":"rsa2021-windows-xp-vulnbins","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/rsa2021-windows-xp-vulnbins\/9668\/","title":{"rendered":"G\u00fcn\u00fcm\u00fcz sistemlerinde eski g\u00fcvenlik a\u00e7\u0131klar\u0131ndan faydalanan yaz\u0131l\u0131mlar"},"content":{"rendered":"

Zarar vermek amac\u0131yla yasal programlar\u0131 veya i\u015fletim sistemi i\u015flevlerini kullanan Living off the Land\u2013t\u00fcr\u00fc (LotL) sald\u0131r\u0131lar\u0131<\/a> yeni kar\u015f\u0131la\u015f\u0131lan bir \u015fey de\u011fil, ancak LotL sald\u0131r\u0131lar\u0131na duyarl\u0131 modern yaz\u0131l\u0131mlar\u0131 takip eden uzmanlar nedeniyle siber su\u00e7lular bu konuda yenili\u011fe gitmek zorunda kald\u0131lar. Ara\u015ft\u0131rmac\u0131lar Jean-Ian Boutin ve Zuzana Hromcova, 2021 RSA Konferans\u0131<\/a>\u2018nda yapt\u0131klar\u0131 konu\u015fmada, sald\u0131r\u0131larda yasal Windows XP bile\u015fenlerinin ve programlar\u0131n\u0131n kullan\u0131m\u0131 gibi bir yenilikten bahsetti<\/a>.<\/p>\n

Living off the Land ve g\u00fcvenlik a\u00e7\u0131klar\u0131na sahip Windows XP bile\u015fenleri<\/h2>\n

InvisiMole<\/a> grubunun faaliyetlerini inceleyen Boutin ve Hromcova, grubun fark edilmemesinde, InvisiMole ara\u00e7lar\u0131n\u0131n, uzun s\u00fcredir kullan\u0131lmayan i\u015fletim sistemi dosyalar\u0131ndan faydalanmas\u0131n\u0131n etkili oldu\u011funa dikkat \u00e7ekti. Ara\u015ft\u0131rmac\u0131lar genel anlamda bu dosyalara, g\u00fcvenlik \u00e7evrelerinde Living off the Land sald\u0131r\u0131lar\u0131nda kullan\u0131lan dosyalar\u0131 ifade etmek i\u00e7in kullan\u0131lan LOLBins\u2019e benzer \u015fekilde VULNBins ad\u0131n\u0131 verdiler.<\/p>\n

Elbette, kurban\u0131n bilgisayar\u0131na g\u00fcncel olmayan bir dosyay\u0131 indirmek i\u00e7in s\u00f6z konusu bilgisayara eri\u015fim gerekiyor. Ancak VULNBin\u2019ler genellikle sisteme tamamen s\u0131zmak yerine, hedeflenen bir sistemde fark edilmeden kal\u0131c\u0131l\u0131k sa\u011flamak i\u00e7in kullan\u0131l\u0131yor.<\/p>\n

<\/strong><\/p>\n

G\u00fcncel olmayan programlar\u0131n ve sistem bile\u015fenlerinin kullan\u0131m\u0131na ili\u015fkin spesifik \u00f6rnekler<\/h2>\n

Bir sald\u0131rgan\u0131n y\u00f6netici haklar\u0131n\u0131 elde edememesi halinde sistemde kal\u0131c\u0131l\u0131\u011f\u0131 sa\u011flamak i\u00e7in kullanabilece\u011fi taktiklerden biri, bilinen bir arabellek ta\u015fmas\u0131 (buffer overflow) g\u00fcvenlik a\u00e7\u0131\u011f\u0131na sahip eski bir video oynat\u0131c\u0131s\u0131ndan faydalanmas\u0131d\u0131r. Siber su\u00e7lular sald\u0131r\u0131n\u0131n bir sonraki a\u015famas\u0131 i\u00e7in gereken kodu y\u00fcklemek amac\u0131yla Windows G\u00f6rev Zamanlay\u0131c\u0131 \u00fczerinden, g\u00fcvenlik a\u00e7\u0131\u011f\u0131ndan faydalanacak \u015fekilde yap\u0131land\u0131rma dosyas\u0131 de\u011fi\u015ftirilmi\u015f video oynat\u0131c\u0131y\u0131 \u00e7a\u011f\u0131ran, d\u00fczenli olarak \u00e7al\u0131\u015ft\u0131r\u0131lan bir g\u00f6rev olu\u015fturuyorlar.<\/p>\n

InvisiMole sald\u0131rganlar\u0131 bir \u015fekilde y\u00f6netici haklar\u0131n\u0131 elde etmeyi ba\u015fard\u0131klar\u0131nda, yasal sistem bile\u015feni setupSNK.exe, Windows XP kitapl\u0131\u011f\u0131 wdigest.dll ve kitapl\u0131\u011f\u0131 \u00e7al\u0131\u015ft\u0131rmak i\u00e7in gereken Rundll32.exe\u2019yi (bu da eski sistemden gelen bir dosya) kullanan ba\u015fka bir y\u00f6ntemi kullanabiliyorlar. Ard\u0131ndan k\u00fct\u00fcphanenin belle\u011fe y\u00fckledi\u011fi verileri de\u011fi\u015ftiriyorlar. Kitapl\u0131k, ASLR teknolojisinin uygulanmas\u0131ndan \u00f6nce olu\u015fturuldu\u011fu i\u00e7in siber su\u00e7lular, verilerin bellekte y\u00fcklenece\u011fi tam adresi biliyorlar.<\/p>\n

K\u00f6t\u00fc ama\u00e7l\u0131 veri y\u00fck\u00fcn\u00fcn \u00e7o\u011funu kay\u0131t defterinde \u015fifrelenmi\u015f bi\u00e7imde depoluyorlar ve bunu yaparken tamamen yasal kitapl\u0131klar\u0131 ve y\u00fcr\u00fct\u00fclebilir dosyalar\u0131 kullan\u0131yorlar. Bu nedenle, kullan\u0131lan y\u00f6ntemdeki k\u00f6t\u00fc ama\u00e7l\u0131 tek \u015fey, oynat\u0131c\u0131n\u0131n yap\u0131land\u0131rma ayarlar\u0131n\u0131n bulundu\u011fu dosya ve eski k\u00fct\u00fcphanelerdeki a\u00e7\u0131ktan faydalanan k\u00fc\u00e7\u00fck bir yaz\u0131l\u0131md\u0131r. Genellikle bu, bir g\u00fcvenlik sisteminin dikkatini \u00e7ekecek kadar \u015f\u00fcphe yaratan bir durum de\u011fildir.<\/p>\n

G\u00fcvenli\u011finizi nas\u0131l sa\u011flayabilirsiniz?<\/h2>\n

Bu t\u00fcr dosyalar\u0131n yer ald\u0131\u011f\u0131 bir veri taban\u0131n\u0131n bulunmas\u0131, siber su\u00e7lular\u0131n eski dosyalar\u0131 ve g\u00fcncel olmayan sistem bile\u015fenlerini (\u00f6zellikle yasal bir yay\u0131nc\u0131 taraf\u0131ndan imzalanm\u0131\u015f olanlar\u0131) kullanmas\u0131n\u0131n \u00f6n\u00fcne ge\u00e7mek ad\u0131na iyi bir ba\u015flang\u0131\u00e7 noktas\u0131 olacakt\u0131r. Bu, sahip oldu\u011funuz mevcut savunmalar\u0131n onlar\u0131 engellemesini veya en az\u0131ndan (herhangi bir nedenle engellemek m\u00fcmk\u00fcn de\u011filse) izlemesini sa\u011flar. Ancak bu ileriye y\u00f6nelik bir \u00e7\u00f6z\u00fcmd\u00fcr.<\/p>\n

B\u00f6yle bir veri taban\u0131 olu\u015fturulana kadar,\u00a0EDR s\u0131n\u0131f\u0131 \u00e7\u00f6z\u00fcm\u00fcm\u00fcz\u00fc<\/a> kullanarak a\u015fa\u011f\u0131daki \u00f6nlemleri al\u0131n:<\/p>\n