Siber Güvenlik

Kritik: EDR’yi Aşan Araç, Adli Yazılımdan İmzalı Kernel Sürücüsü Kullanıyor

teknomers
teknomers

Giriş

Kötü niyetli yazılımcılar, EDR çözümlerini devre dışı bırakmak için yasadışı bir şekilde kullanılan eski bir EnCase çekirdek sürücüsünü hedef alıyorlar. Bu durum, siber güvenlik alanında ciddi tehditler oluşturmakta ve işletmelerin savunmasını zorlaştırmaktadır.

Contents

Saldırı Nasıl Çalışıyor?

Saldırılar, genellikle “Bring Your Own Vulnerable Driver” (BYOVD) tekniğiyle gerçekleştiriliyor. Bu yöntemde, saldırganlar geçerli ama zayıf bir sürücüyü sistemin çekirdek seviyesine erişim sağlamak ve güvenlik yazılımı süreçlerini sonlandırmak için kullanıyorlar. Örneğin, kötü niyetli yazılım, EnPortv.sys adlı eski bir EnCase çekirdek sürücüsünü kullanarak, 59 farklı güvenlik aracıyla ilgili süreçleri hedef alıyor.

Etkilenen Sistemler

Bu saldırı tarzı, özellikle Windows işletim sistemlerini hedef alıyor. Geliştirilen kötü niyetli yazılım, 2006 yılında verilen ve 2010 yılında süresi dolan ve sonrasında iptal edilen bir sürücünün sertifikasını kullanıyor. Microsoft’un, Windows 10 versiyon 1607 ile birlikte yürürlüğe koyduğu sürücü imzalama gerekliliği, önceden verilen sertifikalar için bir istisna getirmiştir, bu nedenle bu eski sertifika halen kabul ediliyor.

Çözüm ve Korunma

Huntress araştırmacıları, bu tür bir tehditin üstesinden gelmek için aşağıdaki önerileri sunuyorlar:

  • MFA (Çok Faktörlü Kimlik Doğrulama) özelliğini tüm uzaktan erişim hizmetlerinde aktif hale getirin.
  • VPN loglarınızı şüpheli etkinlikler için sürekli olarak izleyin.
  • Microsoft’un zayıf sürücü engelleme listesini etkinleştirmek için HVCI (Hypervisor-protected Code Integrity) ve Bellek Bütünlüğü özelliklerini açın.
  • OEM veya donanım bileşenleri olarak giydirilmiş çekirdek hizmetleri izleyin.
  • Zayıf, imzalı sürücüleri engellemek için WDAC (Windows Defender Application Control) ve ASR (Attack Surface Reduction) kurallarını uygulayın.

Sonuç

Kurumlar, bu tür siber tehditlerle başa çıkmak için güvenlik önlemlerini gözden geçirmeli ve gerekli güncellemeleri yapmalıdır. Özellikle, MFA uygulamalarını hayata geçirmek ve uzaktan erişim hizmetlerinde şüpheli aktiviteleri takip etmek büyük önem taşımaktadır. Port kapama ve güncellemeler, sistemlerinizin güvenliği için kritik adımlardır.

Yeni ‘Plague’ PAM arka kapısı, kritik Linux sistemlerini gizli şifre hırsızlığına açıyor.
YouTube podcast’ler konusunda gerçekten ciddi, içerik oluşturucular için yeni bir araç sunuyor
Microsoft NTLM Sıfır Gün Nisan Ayına Kadar Yamasız Kalacak
Kritik Uyarı: CISA, Roundcube Açığında Acil Güncellemeler Duyurdu
Siber Dayanıklılık Sadece Teknoloji Değil, İnsanlarla İlgilidir
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Kritik: WinRAR Açığını Kullanan Çin Bağlantılı Espiyonaj Operasyonu
Sonraki Makale NetEase, Suda51’in AI Bölümünü Kapatma İddalarını Yalanladı

Sanal Medya

Son Eklenenler

E-bike Girişimleri Kriz Yaşarken, Lectric Büyümeye Devam Ediyor
Genel
Sonos Era 100 Hoparlör Fiyatıyla Kaçırılmayacak Bir Fırsat Sunuyor
Liste
Xbox’ın CEO’sundan Kaçırılmaması Gereken Özel İçerik Açıklaması
Oyun
Ferrynoia Bitecek: Yeşil Deniz Teknolojisiyle Yeni Dönem Başlıyor!
Genel
NSA’nın Claude Mythos’u ‘saldırı siber operasyonları’ için kullandığı iddia edildi, ajansa altı Anthropic mühendis yerleştirilmiş
Donanım
Yeni Görsel Tasarım ile Steam Talebini Artıracak Ama Bağımsız Oyunlar Zorlanabilir
Oyun