Yeni EDR-Freeze Yöntemi Nedir?
Son zamanlarda, siber güvenlik alanında dikkat çeken bir gelişme yaşandı. EDR-Freeze adı verilen yeni bir metod ve kanıt niteliğindeki araç, kullanıcı modundan güvenlik çözümlerini atlatmanın mümkün olduğunu gösterdi. Bu teknik, Microsoft’un Windows Hata Raporlama (WER) sistemini kullanarak çalışmakta ve güvenlik ajanlarını, özellikle de uç nokta tespit ve yanıt (EDR) araçlarını donma durumuna sokmaktadır.
Bu metod, bir savunmasız sürücü ihtiyaç duymadan çalışmakta ve saldırganların EDR ve antivirüs süreçlerinin faaliyetlerini sürdürülemez hale getirmek için MiniDumpWriteDump API‘sini kullanmasına olanak tanımaktadır. Mevcut EDR devre dışı bırakma yöntemleri, genellikle ‘Kendi Savunmasız Sürücünü Getir’ (BYOVD) tekniği üzerine odaklanmakta, bu durumda saldırganlar, meşru ancak savunmasız bir çekirdek sürücüsünü kullanarak ayrıcalık yükseltmesi gerçekleştirmektedir.
BYOVD Yönteminin Dezavantajları
BYOVD saldırılarının bazı önemli dezavantajları bulunmaktadır. Bu dezavantajların başında, hedef sisteme sürücüyü kaçırmak, çalışma korumalarını aşmak ve işlemi açığa çıkarabilecek çekirdek düzeyindeki kalıntıları temizlemek gelmektedir. EDR-Freeze ise çok daha gizli bir yöntem olarak tanımlanmaktadır; çünkü bir çekirdek sürücüsüne ihtiyaç duymamakta ve tamamen kullanıcı modunda çalışmaktadır.
EDR-Freeze Nasıl Çalışır?
WerFaultSecure, Windows Hata Raporlama sisteminin bir bileşeni olup, koruma süreci (PPL) ayrıcalıklarıyla çalışan bir yapıdadır. Bu bileşen, hassas sistem süreçlerinin çökmesini gözlemleyerek hata ayıklama ve tanılama amacıyla çökme dökümü toplamakta kullanılmaktadır. MiniDumpWriteDump API‘si, bir işlemin bellek durumunun bir kesitini oluşturmak için tasarlanmıştır ve bu süreçte hedef işlemin tüm thread’lerini askıya alarak işini tamamladıktan sonra yeniden başlatmaktadır.
EDR-Freeze, WerFaultSecure bileşenini kullanarak MiniDumpWriteDump çağrısını tetiklemektedir. Bu süreç, hedef işlemi askıya alarak çökme dökümünün yazılmasını sağlamakta ve saldırgan, bu noktada WerFaultSecure işlemini de askıya alarak hedef işlemi “komada” bırakmaktadır.
EDR-Freeze Saldırısının Aşamaları
Araştırmacı, bu saldırıyı dört aşamada yeniden üretilebilecek bir yarış koşulu saldırısı olarak tanımlamaktadır:
- WerFaultSecure’i PPL olarak başlatın.
- WerFaultSecure’e argümanlar iletin, bu argümanlar MiniDumpWriteDump’ı hedef PID üzerinde çağırmasını sağlar.
- Hedefin döküm işlemi tarafından askıya alındığını gözlemleyin.
- Hızla WerFaultSecure’i (PROCESS_SUSPEND_RESUME) açın ve NtSuspendProcess çağrısını yaparak dökümcüyü dondurun.
Araştırmacı, bu eylemleri gerçekleştiren bir araç da yayımlamış ve bu aracı Windows 11 24H2 üzerinde test ederek Windows Defender sürecini başarıyla dondurmuştur.
EDR-Freeze’den Korunma Yöntemleri
EDR-Freeze’e karşı korunmak mümkündür. Bunun için, WER’in hassas süreçler, örneğin LSASS veya güvenlik araçlarının kimliğini gösterip göstermediğini izlemek önemlidir. Bu amaçla, güvenlik araştırmacısı Steven Lim, WerFaultSecure’i Microsoft Defender uç noktası süreçlerine haritalayan bir araç geliştirmiştir.
Microsoft’un da bu Windows bileşenlerini kötüye kullanıma karşı güçlendirmek için önlemler alması gerekmektedir. Örneğin, şüpheli çağrıları engelleyebilir, yalnızca belirli PID’ler için izin verebilir veya olası parametreleri kısıtlama yoluna gidebilir.
Sonuç olarak, EDR-Freeze tekniği, Windows güvenlik bileşenlerinde daha derin zafiyetler barındırdığını göstererek, güvenlik toplumu için yeni bir meydan okuma sunmaktadır. Microsoft’un bu duruma karşı alacağı tedbirler, gelecekte benzer risklerin önlenmesi açısından kritik önem taşıyacaktır.
