The RansomHub fidye yazılımı çetesi Saldırılarında, herhangi bir kötü amaçlı aktiviteyi tespit etmeden önce uç nokta algılama ve yanıt (EDR) süreçlerini sonlandırmak için geliştirilen yeni bir yardımcı programı kullanıma sundu.
Sophos X-Ops ekibine göre, “EDRKillShifter” olarak adlandırılan ikili dosya, GitHub’da bulunan kavram kanıtı istismarlarını kullanarak ayrıcalık yükseltme amacıyla kullanılabilecek meşru ancak yama uygulanmamış, güvenlik açığı bulunan bir sürücüyü yüklemek için oluşturulmuş.
“Bu yükleyicinin yürütme sürecinin üç adımı var,” diye açıklıyor Sophos araştırmacıları bir analiz bu hafta. “Saldırganın EDRKillShifter’ı bir parola dizesi içeren bir komut satırıyla yürütmesi gerekir. Doğru parolayla çalıştırıldığında, yürütülebilir dosya BIN adlı gömülü bir kaynağı şifresini çözer ve onu bellekte yürütür.”
“BIN kodu son yükü açar ve çalıştırır. Go programlama dilinde yazılmış olan bu son yük, çeşitli farklı savunmasız, meşru sürücülerden birini düşürüp istismar ederek bir EDR aracının korumasını kaldırmaya yetecek ayrıcalıklar elde eder.” diye eklediler.
Bulgular, EDR sistemlerini devre dışı bırakmak için tasarlanmış kötü amaçlı yazılımların yükselişte olduğu bir dönemde ortaya çıktı. Örneğin, EDR katili AuKill Sophos X-Ops’un geçen yıl Dark Web’de ticari olarak satıldığı keşfedilen bir araç, kullanımda artış görüldü Geçtiğimiz yıl içinde. Ve Terminatörkullanan kendi sürücünüzü getirin (BYOVD)) EDRKillShifter’a benzer bir mekanizma, 24 farklı satıcının EDR motorlarını öldürerek “hepsi bir arada” EDR baypası sunma yeteneği nedeniyle giderek popülerlik kazanıyor.
BYOVD Saldırılarına Karşı Koruma
BYOVD saldırı yöntemi yeni değil ve Microsoft geçen yıldan beri geçmişte kötüye kullanıldığı bilinen imzalı sürücülerin sertifikasını iptal etmeye başladı. Ancak bu sorunu tamamen çözmüyor.
“Sürücünün eski, hatalı bir sürümünü yüklemek, iyi bilinen, uzun süredir kullanılan bir hackleme tekniğidir,” diye yazdı KnowBe4’te veri odaklı savunma savunucusu olan Roger Grimes, e-postayla gönderdiği bir bildiride. “Ben bunu 20 yıldır penetrasyon testi yaptığım süre boyunca büyük bir başarıyla kullandım. Ve buna karşı savunma yapmak çok zor.”
Eski yazılım sürümlerini takip edip sonra bunların yüklenmesini engellemenin bir şey olduğunu, ancak birçok yönetici/kullanıcı grubunun uyumluluk ve çalışabilirlik sorunları nedeniyle eski yazılımları bilerek yüklü tutmak istemesi nedeniyle durumun daha karmaşık hale geldiğini açıkladı. Bu nedenle, bu tür bir izleme işlevine sahip bir uygulama yükleyicisinin bile değişen manzaraya ayak uydurması zor olacaktır.
“Hangi yazılım sürümlerinin ve sürücülerin eski olduğunu ve yüklenmemesi gerektiğini takip etmek, tedarikçilerin her zaman en son çıkanları takip etmeye çalışarak geride kaldığı bir başka antivirüs imza veritabanı izleme sorununa hızla dönüşecektir,” diye belirtti.
Bunu akılda tutarak, Sophos X-Ops yöneticilerinin bu tür senaryoları engellemek için Windows güvenlik rolleri için güçlü hijyen uygulamalarını öneriyor.
Rapora göre, “Bu saldırı yalnızca saldırganın kontrol ettiği ayrıcalıkları artırması veya yönetici hakları elde edebilmesi durumunda mümkün. Kullanıcı ve yönetici ayrıcalıkları arasındaki ayrım, saldırganların sürücüleri kolayca yüklemesini önlemeye yardımcı olabilir.”