Siber Muhbir

Siber güvenlik firması Security Joes, özel olarak paylaşılan yeni bir raporda, yaklaşımın "güvenilir WinSxS klasöründe yaygın olarak bulunan yürütülebilir dosyalardan yararlandığını ve bunları klasik DLL arama emri ele geçirme tekniği aracılığıyla kullandığını" söyledi.

Bunu yaparken, saldırganların, güvenliği ihlal edilmiş bir makinede kötü amaçlı kod çalıştırmaya çalışırken yükseltilmiş ayrıcalıklara olan ihtiyacı ortadan kaldırmasına ve geçmişte gözlemlendiği gibi potansiyel olarak savunmasız ikili dosyaları saldırı zincirine dahil etmesine olanak tanır.

DLL arama emri ele geçirme, adından da anlaşılacağı gibi, savunmadan kaçınma, kalıcılık ve ayrıcalık yükseltme amacıyla kötü amaçlı yükleri yürütmek için DLL'leri yüklemek için kullanılan arama sırasının oynanmasını içerir.

Özellikle, teknikten yararlanan saldırılar, ihtiyaç duydukları kitaplıkların tam yolunu belirtmeyen uygulamaları ayırır ve bunun yerine, diskte gerekli DLL'leri bulmak için önceden tanımlanmış bir arama sırasına güvenir.

Tehdit aktörleri, meşru sistem ikili dosyalarını, meşru olanlardan sonra adlandırılan kötü amaçlı DLL'leri içeren standart olmayan dizinlere taşıyarak bu davranıştan yararlanır, böylece saldırı kodunu içeren kitaplık ikincisinin yerine alınır.

Bu da işe yarar çünkü DLL'yi çağıran işlem, söz konusu kaynağı bulmak ve yüklemek için belirli bir sırayla diğer konumları yinelemeden önce ilk olarak yürütüldüğü dizinde arama yapar. Başka bir deyişle, arama sırası aşağıdaki gibidir -

1. Uygulamanın başlatıldığı dizin
2. "C:\Windows\System32" klasörü
3. "C:\Windows\System" klasörü
4. "C:\Windows" klasörü
5. Geçerli çalışma dizini
6. Sistemin PATH ortam değişkeninde listelenen dizinler
7. Kullanıcının PATH ortam değişkeninde listelenen dizinler

Security Joes tarafından tasarlanan yeni büküm, güvenilir "C:\Windows\WinSxS" klasöründe bulunan dosyaları hedefliyor. Windows yan yana ifadesinin kısaltması olan WinSxS, uyumluluk ve bütünlüğü sağlamak için işletim sisteminin özelleştirilmesi ve güncellenmesi için kullanılan kritik bir Windows bileşenidir.

Security Joes'un kurucu ortağı ve CEO'su Ido Naor, paylaşılan bir açıklamada, "Bu yaklaşım siber güvenlikte yeni bir uygulamayı temsil ediyor: geleneksel olarak saldırganlar, Windows uygulamalarının harici kitaplıkları ve yürütülebilir dosyaları nasıl yüklediğini manipüle eden bir yöntem olan DLL arama emri ele geçirme gibi iyi bilinen tekniklere büyük ölçüde güveniyorlardı" dedi.

"Keşfimiz bu yoldan ayrılıyor ve daha ince ve gizli bir sömürü yöntemini ortaya çıkarıyor."

Buradaki fikir, özetle, WinSxS klasöründeki savunmasız ikili dosyaları (örneğin, ngentask.exe ve aspnet_wp.exe) bulmak ve kod yürütmeyi sağlamak için meşru DLL ile aynı ada sahip özel bir DLL'yi aktör tarafından kontrol edilen bir dizine stratejik olarak yerleştirerek normal DLL arama sırası ele geçirme yöntemleriyle birleştirmektir.

Sonuç olarak, sahte DLL'yi içeren özel klasörü geçerli dizin olarak ayarlayarak WinSxS klasöründeki güvenlik açığı bulunan bir dosyayı yürütmek, yürütülebilir dosyayı WinSxS klasöründen ona kopyalamak zorunda kalmadan DLL içeriğinin yürütülmesini tetiklemek için yeterlidir.

Güvenlik Joes, WinSxS klasöründe bu tür DLL arama emri ele geçirmeye açık ek ikili dosyalar olabileceği konusunda uyardı ve kuruluşların ortamlarında istismar yöntemini azaltmak için yeterli önlemleri almalarını gerektirdi.

Şirket, "Süreçler arasındaki ebeveyn-çocuk ilişkilerini, güvenilir ikili dosyalara özel olarak odaklanarak inceleyin" dedi. "WinSxS klasöründe bulunan ikili dosyalar tarafından gerçekleştirilen tüm etkinlikleri yakından izleyin, hem ağ iletişimine hem de dosya işlemlerine odaklanın."