Araştırmacılar, Çin’deki internet kafelere yönelik pazarlanan ve aslında karmaşık, çok yönlü, çekirdek düzeyinde kötü amaçlı yazılımlar gizleyen sahte bir reklam engelleyiciye rastladılar.
VirusTotal’da en azından geçen yılın sonlarından beri bulunan “HotPage.exe”, Microsoft tarafından onaylanmış ve imzalanmış ve gerçek bir şirket gibi görünen bir kuruluş tarafından geliştirilmiştir. Yine de, güvenlik ürünleri bunu reklam yazılımı olarak işaretler ve gerçekte bundan daha da kötüdür.
Reklamları kaldırmak yerine, web trafiğini keserek ve kurbanların tarayıcılarındaki içeriği yönlendirerek ve manipüle ederek çok daha fazlasını sunar. Bu arada, dolaşan herhangi bir saldırganın mümkün olan en yüksek ayrıcalıklarla kötü amaçlı kod yürütmesine izin verebilecek savunmasız bir sistem düzeyinde sürücü bırakır.
Yeni raporuna göreESET, HotPage’i 18 Mart’ta Microsoft’a bildirdi. Microsoft ise 1 Mayıs’ta bunu Windows Server Kataloğu’ndan kaldırdı.
HotPage Kolayca Silahlandırılabilir
HotPage’in kurbanlara nasıl ulaştırıldığı henüz belirsiz. Ürün dokümantasyonu, güvenlik ürünü olarak pazarlandığını gösteriyor, bu da mantıklı, zira savunmasız sürücüsünü diske bırakmak için önemli ayrıcalıklar gerektiriyor.
Bu sürücü her türlü sorunun kaynağıdır. Hedeflenen tarayıcı uygulamalarına kütüphaneler enjekte eder ve tarayıcı etkinliğini engellemek ve değiştirmek, kurbanın ekranında yeni reklam dolu web sayfalarını yönlendirmek veya açmak için ağ tabanlı Windows API işlevlerini bağlar. Kurban hakkında bilgi göndermek ve saldırı için ilgili verileri almak üzere bir komut ve kontrol (C2) sunucusuna bağlanır.
Daha kötüsü ise, bu çekirdek modu bileşeninin uygun erişim kısıtlamalarından yoksun olması, dolayısıyla çalışan herhangi bir işlemin onunla iletişim kurmasına izin vermesidir. Bunun kasıtlı olarak mı yoksa kasıtsız mı tasarlandığı belli değil, ancak her iki durumda da sonuç aynıdır: Herhangi bir saldırgan HotPage’i kendi amaçları için silahlandırabilir.
HotPage’in, güvenlik politikalarını işlemlere uygulamak için kullanılan Windows API işlevi “SetProcessMitigationPolicy”yi nasıl bağladığını belirtmekte fayda var. Kötü amaçlı yazılım bunu yaparken, aksi takdirde kendisine uygulanabilecek tüm güvenlik politikalarını engeller ve sistem düzeyinde keyfi kod enjeksiyonuna olanak tanır.
HotPage Kötü Amaçlı Yazılımı Meşruiyet Görünümünü Nasıl Kazandı
Resmi imzasına göre HotPage, Hubei Dunwang Network Technology Co. Ltd. tarafından geliştirilmiştir. Şirket ilk olarak 6 Ocak 2022’de, geliştirme, danışmanlık ve reklamcılık dahil olmak üzere teknolojiyle ilgili hizmetler sağlama beyan edilen amacıyla tescil edilmiştir. Üç alan ve bir QR kodundan oluşan yalın bir form olan web sitesi artık yayında değildir.
Microsoft’un kod imzalama süreci, böylesine karanlık bir şirkete ve onun apaçık kötü amaçlı yazılımına izin verecek kadar gevşek olabilir mi? Dark Reading bu noktada yorum almak için Microsoft’a ulaştı, ancak gerçek şu ki kod imzalama işlemi düzenli olarak kötüye kullanılıyor içinde herhangi bir sayıda yol.
“Oldukça basit bir senaryoda,” diye açıklıyor ESET’in kötü amaçlı yazılım araştırmacısı Romain Dumont, “şüpheli bir şirket, sürücü imzalama gerekliliklerini yerine getirecek meşru bir bilgisayar yazılımı geliştirirdi. Daha sonra, editör gizlice bir arka kapı açabilirdi, ya yeni işlevler aracılığıyla ya da kasıtlı olarak bir güvenlik açığı ekleyerek.”
Benzer şekilde, “HotPage (veya DWAdsafe), reklamları engellemek için bir güvenlik ürünü olarak sunulmuştur ve bu nedenle müdahale işlevlerine sahiptir. Burada sorun, yazılımın yapılandırılma ve kötüye kullanılma biçiminde yatmaktadır.” diye ekliyor.
Microsoft, kendi adına, ancak bu kadarını yapabilir. “Kurşun geçirmez bir sürecin var olduğunu düşünmüyorum,” diyor Dumont. “Saf bir yaklaşım, şirketler hakkında bir geçmiş kontrolü yapmak ve reklamı yapılan işlevlerin gerçek işlevlere bir güvenlik değerlendirmesi yoluyla karşılık geldiğini doğrulamak olurdu. Microsoft, yazılımın amaçlanan amacı ve bunu başarmak için gereken işlevler konusunda belirli bir şeffaflık düzeyi isteyebilir. Bir editörün ihtiyaç duyduğu işlevler ne kadar fazlaysa, o kadar çok testten geçmesi gerekir. Ama kabul edelim ki, bu bir zor ve zaman alıcı görev.”
Kullanıcılar, Microsoft’un güvenilir gördüğü programlara bile körü körüne güvenemezler. Bunun yerine, Dumont, “Ünlü şirketlerden bilgisayar yazılımları kullanmanın bir başlangıç olduğunu düşünüyorum. Ayrıca, açık kaynaklı yazılımlara ve işlevleri konusunda şeffaf olan ve geçmiş paylaşım güvenlik uyarıları veya güvenlik açığı duyuruları olan hata ödül programlarına sahip şirketlere yönelin. … Mümkünse ve kural olarak, şirketler ve kullanıcılar programları izole etmeli ve ayrıcalıklarını mümkün olduğunca kısıtlamalıdır.” diyor.