Yeni öncü bir teknik, Windows çekirdeğinin (NTDLL) kullanıcıya dönük modunu donanım kesme noktalarından kaldırarak uç nokta algılama ve yanıt (EDR) platformlarını “kör” hale getirebilir. Araştırmacılar, bunun potansiyel olarak kötü niyetli aktörlere NTDLL içinden herhangi bir işlevi yürütme ve EDR’nin haberi olmadan teslim etme yeteneği verdiği konusunda uyardı.
“Blindside” adını verdiği tekniği keşfeden Cymulate Offensive Research Group, bir raporda şunları kaydetti: 19 Aralık’ta yayınlanan rapor enjekte edilen komutların bir hedef sistemde herhangi bir sayıda beklenmeyen, istenmeyen veya kötü niyetli işlemi gerçekleştirmek için kullanılabileceği.
Blindside kancasız bir süreç oluşturur. Bu, EDR platformları tarafından davranışların kötü amaçlı olup olmadığını belirlemek için kullanılan kancaların (bir uygulamanın diğerini izlemesine izin veren) kancasız süreçte bulunmayacağı anlamına gelir.
Araştırmacılar, birçok EDR çözümünün davranışları ve kötü amaçlı etkinlikleri izlemek için tamamen veya büyük ölçüde kancalara dayandığından, Blindside ile başlatılan sürecin davranışlarını izleyemeyeceklerini açıkladı.
Cymulate’de teknik mesajlaşma direktörü Mike DeNapoli, kancaları engellemenin başka yöntemleri olduğunu, ancak bunların bağımlı olduğunu belirtiyor. ağır şekilde işletim sisteminden işbirliği üzerine. Blindside’da öyle değil.
“Blindside, donanım operasyonlarından yararlanır ve diğer yöntemlerin başarısız olduğu durumlarda çalışabilir” diye açıklıyor.
DeNapoli ayrıca, kötü amaçlı sonuçlar için donanım kesme noktalarının kullanılmasının tamamen yeni olmadığına işaret ediyor ve araştırmacıların, x86 mimarilerinde algılamaya karşı karartma yapmak için çeşitli kesme noktaları biçimlerinin kullanılabileceğini bildiklerini açıklıyor. Ancak Blindside’ın biraz farklı bir yaklaşımı var.
“Önceki tehdit metodolojileri ve teknikleri, bir sürecin sanallaştırılmasına veya amaçlarına ulaşmak için sistem çağrılarının kullanılmasına odaklanmıştı” diyor. “Blindside, bir işlemi kanca olmadan başlatmaya zorlamak için belirli hata ayıklama kesme noktalarının kullanımını ekler, bu da onu yeni bir teknik yapan şeydir.”
Yeni Teknikler Keşfetmek Korumayı İyileştiriyor
DeNapoli, yeni saldırı vektörleri keşfetmenin, EDR tedarikçilerinin ve müşterilerinin savunmada oyunun bir adım önünde olmalarını sağladığını söylüyor.
“Teknikleri araştırırken, Cymulate Offensive Araştırma Ekibi bazen yeni teknikler oluşturmak için kullanılabilecek fikirleri keşfedecek” diye açıklıyor ve sonuçların halka açıklanmasının gerekçesinin, EDR’ye bu potansiyel saldırı teknikleri ve yöntemleri hakkında daha fazla farkındalık getirmek olduğunu ekliyor. satıcılar ve halk – tehdit aktörleri tarafından keşfedilmeden ve kötü amaçlar için kullanılmadan önce.
DeNapoli, “EDR çözümleri, uygulamaları ve süreçleri kötü niyetli eylemler gerçekleştirdikleri durumlara karşı izlemek için birden çok metodoloji kullanır” diyor. “Davranış tabanlı algılama fikri, kötü amaçlı yazılımdan koruma operasyonlarının birincil ve en popüler yöntemi haline geldi. Bu, bu tür kötü amaçlı yazılımdan koruma operasyonlarının atlanmasını ve tehlikeye atılmasını, hem kuruluşlar hem de hizmet sağlayıcılar için önemli bir endişe haline getiriyor.”
Netenrich’in baş tehdit avcısı John Bambenek, iyi haberin bu taktiğin bir saldırıdan önce keşfedilmiş ve daha geniş toplulukla paylaşılmış olması olduğunu kabul ediyor.
“Bu şekilde, bazıları araştırmanın kendisinde olan hafifletme yöntemleri geliştirebilirler” diyor. “Bu araştırma, sorunu ve ileriye dönük bir yolu tanımlar.”
Saldırganların sürekli olarak teknikler geliştirdiğini ve güvenlik araçlarımızı atlatmak için delikler aradığını ekliyor. Bu ayın başlarında güvenlik açıkları bulundular Aralarında Microsoft, Trend Micro ve Avast’ın da bulunduğu farklı satıcıların EDR araçlarında, saldırganlara ürünleri kurulu sistemlerdeki neredeyse tüm verileri silmeleri için manipüle etme yolu sunar.
Yakın zamanda başka bir tehdit grubunun, antivirüs ve EDR işlemlerini sonlandırmak için tasarlanmış bir araç setinin parçası olarak Microsoft imzalı sürücüleri kullandığı gözlemlendi.
Bambenek, “Ya önce onları bulup hafifletici önlemler geliştiririz ya da saldırganların onları bulup ihlallerle ilgilenmesini isteriz,” diyor.
Savunma Duruşlarını Güncelleme
DeNapoli, yeni nesil EDR platformlarının kancalama sürecine çok fazla güvenmekten büyük olasılıkla uzaklaşacağını açıklıyor.
“Cymulate’in tekniği test ettiği birkaç EDR satıcısı, davranışları izlemek için çengelleme yöntemlerinden daha fazlasını kullanmaya çoktan başlamıştı ve çengellemeyi önlemek için ek teknikler kamuoyuna sunuldukça daha fazlasının da bunu yapacağından eminiz” diyor.
Bir kuruluşun EDR satıcısı ve/veya hizmet sağlayıcısı ile çalışmak ve altyapılarındaki araçların sistem ve yapılandırmasını satıcı/sağlayıcı tavsiyelerine göre güncel ve doğrulanmış halde tutmak, tehdit aktörlerinin bir adım önünde olmak için kritik bir adımdır. DeNapoli ekler.
“EDR çözümleri yalnızca bir savunma katmanı olduğundan ve modern siber güvenlik çözümleri karmaşık olabileceğinden, kuruluşların güvenlik kontrollerini düzenli olarak doğrulamaları da hayati önem taşıyor” diyor.
Bambenek, birçok kuruluşun EDR’yi her yere yerleştirdiklerinde işlerinin bittiğine inandıkları konusunda uyarıyor ve önemli olmakla birlikte, bu yapbozun yalnızca bir parçası.
“Güvenlik maalesef sürekli yatırım gerektirecek çünkü saldırganlar kesinlikle kendi Ar-Ge’lerine yatırım yapıyorlar” diye açıklıyor. “Öncelikle, buradaki çalışma, bu tekniklerin kullanımını tespit etmek için başka araçlara bakmak için EDR satıcıları üzerindedir.”
