Siber suçlular, siber güvenlik korumalarını atlamak için ağlara erişim sağlamaya çalışmak üzere Intel sürücülerindeki eski bir güvenlik açığından yararlanıyor.
Saldırılar detaylandırıldı Crowdstrike siber güvenlik araştırmacılarıbu da Windows sistemlerini hedef alan kampanyanın, Kavrulmuş 0ktapus ve UNC3944 olarak da bilinen Dağınık Örümcek olarak izledikleri bir grup siber suçlunun işi olduğunu öne sürüyor.
Scattered Spider, araştırmacıların mobil operatör ağlarına erişim elde etmek amacıyla özellikle telekomünikasyon ve iş dış kaynak kullanımı sektörleriyle ilgilendiğini söylediği mali amaçlı bir siber suç operasyonudur.
“Kendi Savunmasız Sürücünüzü Getirin” Yöntemi
Saldırganlar önce kullanıcı adlarını ve parolaları çalmak için SMS kimlik avı saldırılarını kullanarak ağlara erişim elde eder. Bazı durumlarda, saldırganlar bu erişimi diğer kimlik bilgilerini elde etmek için kullanırken, grubun SIM değiştirme saldırılarına da katıldığı iddia edildi.
Scattered Spider, bir ağa girdikten sonra, Crowdstrike’ın Windows güvenliğindeki açıkları hedefleyen “Kendi Savunmasız Sürücünüzü Getirin” olarak tanımladığı bir teknik kullanır.
Microsoft, imzasız çekirdek modu sürücülerinin varsayılan olarak çalışmasını engelleyerek kötü amaçlı yazılımların sistemlere erişim sağlama yeteneklerini sınırlamaya çalışırken, saldırganlar “Kendi Güvenlik Açığı Olan Sürücünüzü Getirin” yöntemiyle bu sorunu çözebilirler. saldırıları gerçekleştirmek için yasal olarak imzalanmış ancak kötü niyetli sürücü.
Yasal olarak imzalanmış sertifikalar çalınabilir veya saldırganlar kendi sertifikalarını otomatik olarak imzalamalarına izin veren geçici çözümler bulabilir. Ancak bunları nasıl elde ederlerse etsinler, daha sonra güvenlik ürünlerini devre dışı bırakmak ve etkinliklerini gizlemek için kendi sürücülerini sistemlerde gizlice çalıştırabilir ve yükleyebilirler.
Bunu olabildiğince gizlice gerçekleştirmenin yollarından biri, kötü amaçlı yazılım kullanmak değil, güvenliği ihlal edilmiş sistemde kalıcılığı sağlamak için bir dizi meşru uzaktan erişim aracı yüklemektir.
Savunmasız Sürücüler
Crowdstrike tarafından yapılan analize göre saldırganlar, Windows için Intel Ethernet Tanılama Sürücüsündeki (CVE-2015-2291 olarak işaretlenmiş) bir güvenlik açığı aracılığıyla kötü amaçlı çekirdek sürücülerini yayıyorlar. Kimlik numarasından da anlaşılacağı gibi, güvenlik açığı eskidir, ancak güvenlik açığını gideren güvenlik güncelleştirmesi uygulanmadığında siber suçlular sistemlerde bu güvenlik açığından yararlanmaya devam edebilir.
Savunmasız sürücülere yama uygulanmasına öncelik verilmesi, bu ve imzalı sürücülerin kötüye kullanılmasını içeren diğer benzer saldırı vektörlerinin hafifletilmesine yardımcı olabilir.
Saldırganların atlatmaya çalıştığı araçlar arasında Microsoft Defender for Endpoint, Cortex XDR ve SentinelOne ile Crowdstrike’ın Falcon güvenlik ürünü yer alır. Crowdstrike araştırmacıları, saldırganların kendi kodlarını yüklemeye ve çalıştırmaya çalıştıklarında Falcon’un kötü niyetli etkinliği tespit ettiğini ve önlediğini söylüyor.
Microsoft daha önce “düşmanların kötü amaçlı yazılım yürütmek için meşru ekosistem sürücülerini ve güvenlik açıklarını giderek daha fazla kullandığı” konusunda uyarıda bulunmuştu ve şirket kötüye kullanımı önlemek için adımlar atsa da, teknik saldırı hala işe yarıyor.
güvenlik kuralları
Dağınık Örümcek kampanyası belirli sektörleri hedefliyor gibi görünüyor, ancak Crowdstrike, tüm sektörlerdeki BT ve siber güvenlik ekiplerinin, örneğin eski yama güvenliğinin uygulandığından emin olarak ağlarının saldırılara karşı korunmasını sağlamasını öneriyor.
Microsoft tavsiye de veriyor Hizmetlerin güçlendirilmesine yardımcı olmak için sürücülerin engellenmesi için önerilen kurallar hakkında. Ancak şirket, sürücülerin engellenmesinin aygıtların veya yazılımların arızalanmasına ve nadiren de olsa mavi ekrana yol açabileceği konusunda uyarıyor. Güvenlik açığı bulunan sürücü engelleme listesi, güvenlik açığı bulunan tüm sürücülerin engellenmesini garanti etmez.
Kaynak : ZDNet.com
