Siber Güvenlik

Kritik: EDR’yi Aşan Araç, Adli Yazılımdan İmzalı Kernel Sürücüsü Kullanıyor

teknomers
teknomers

Giriş

Kötü niyetli yazılımcılar, EDR çözümlerini devre dışı bırakmak için yasadışı bir şekilde kullanılan eski bir EnCase çekirdek sürücüsünü hedef alıyorlar. Bu durum, siber güvenlik alanında ciddi tehditler oluşturmakta ve işletmelerin savunmasını zorlaştırmaktadır.

Contents

Saldırı Nasıl Çalışıyor?

Saldırılar, genellikle “Bring Your Own Vulnerable Driver” (BYOVD) tekniğiyle gerçekleştiriliyor. Bu yöntemde, saldırganlar geçerli ama zayıf bir sürücüyü sistemin çekirdek seviyesine erişim sağlamak ve güvenlik yazılımı süreçlerini sonlandırmak için kullanıyorlar. Örneğin, kötü niyetli yazılım, EnPortv.sys adlı eski bir EnCase çekirdek sürücüsünü kullanarak, 59 farklı güvenlik aracıyla ilgili süreçleri hedef alıyor.

Etkilenen Sistemler

Bu saldırı tarzı, özellikle Windows işletim sistemlerini hedef alıyor. Geliştirilen kötü niyetli yazılım, 2006 yılında verilen ve 2010 yılında süresi dolan ve sonrasında iptal edilen bir sürücünün sertifikasını kullanıyor. Microsoft’un, Windows 10 versiyon 1607 ile birlikte yürürlüğe koyduğu sürücü imzalama gerekliliği, önceden verilen sertifikalar için bir istisna getirmiştir, bu nedenle bu eski sertifika halen kabul ediliyor.

Çözüm ve Korunma

Huntress araştırmacıları, bu tür bir tehditin üstesinden gelmek için aşağıdaki önerileri sunuyorlar:

  • MFA (Çok Faktörlü Kimlik Doğrulama) özelliğini tüm uzaktan erişim hizmetlerinde aktif hale getirin.
  • VPN loglarınızı şüpheli etkinlikler için sürekli olarak izleyin.
  • Microsoft’un zayıf sürücü engelleme listesini etkinleştirmek için HVCI (Hypervisor-protected Code Integrity) ve Bellek Bütünlüğü özelliklerini açın.
  • OEM veya donanım bileşenleri olarak giydirilmiş çekirdek hizmetleri izleyin.
  • Zayıf, imzalı sürücüleri engellemek için WDAC (Windows Defender Application Control) ve ASR (Attack Surface Reduction) kurallarını uygulayın.

Sonuç

Kurumlar, bu tür siber tehditlerle başa çıkmak için güvenlik önlemlerini gözden geçirmeli ve gerekli güncellemeleri yapmalıdır. Özellikle, MFA uygulamalarını hayata geçirmek ve uzaktan erişim hizmetlerinde şüpheli aktiviteleri takip etmek büyük önem taşımaktadır. Port kapama ve güncellemeler, sistemlerinizin güvenliği için kritik adımlardır.

Güncellenmiş DTrack Arka Kapısı ile Avrupa ve Latin Amerika’yı Hedefleyen Kuzey Koreli Bilgisayar Korsanları
SonicWall, 20’den fazla hedefli saldırı sonrası SSL VPN sıfır gün açığını inceliyor.
Microsoft, Gizlilik Kaygıları Nedeniyle Windows Copilot+’ın Geri Çağırılmasını Erteledi
Anania, verilerinizi kolayca keşfetmeniz için yapay zeka destekli bir araç
Interlock Ransomware, DaVita Saldırısını Üstlendi ve Çalınan Verileri Yayınladı
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Kritik: WinRAR Açığını Kullanan Çin Bağlantılı Espiyonaj Operasyonu
Sonraki Makale NetEase, Suda51’in AI Bölümünü Kapatma İddalarını Yalanladı

Sanal Medya

Son Eklenenler

NSA, Anthropic’in Mythos’unu Siber Operasyonlar İçin Hazırlıyor
Genel
MAHA’nin Giyiminizi Dönüştürme Zamanı Geldi
Liste
New York’un Gizemli Kanalizasyon Maceracıları: Doo-Doo Su ve İğneler
Genel
Norton VPN’de 12 ay %55 indirimle 49.99$’a tam koruma!
Donanım
Elemental Magic Arena İçin Yeni Kodlar Yayınlandı
Oyun
Trump telefonunun neden ABD’de üretilmiyor?
Liste