Çinli bilgisayar korsanları, güvenliği ihlal edilmiş uç noktalarda kötü amaçlı çekirdek modu sürücülerini imzalamak ve yüklemek için iki açık kaynaklı araç kullanırken tespit edildi.
Kampanyayı tespit eden Cisco Talos’tan siber güvenlik araştırmacılarına göre bu, saldırganlara mümkün olan en yüksek ayrıcalık seviyesini veriyor. Analizlerinde “çekirdeğe erişim bir sisteme tam erişim ve dolayısıyla tam bir uzlaşma sağladığından, bu büyük bir tehdittir” dediler.
Söz konusu iki açık kaynak araca HookSignalTool ve FuckCertVerifyTimeValidity adı verilir. Bu ikisi yaklaşık beş yıldır var ve GitHub’dan indirilebilir. Birincil işlevi, oyun hilecilerinin oyunları değiştirmesine ve haksız avantaj elde etmesine izin vermekti.
Ancak bu örnekte Çinli bilgisayar korsanları, 29 Temmuz 2015’ten önce kötü niyetli sürücülerin imzalanma tarihini değiştirmek için bunu daha önce ihlal edilmiş sistemlerde kullandılar. Tarihi değiştirerek, daha eski, kötü amaçlı sürücüleri kullanabilir, bunları işletim sistemine yükleyebilir ve böylece sistem yönetici yetenekleri.
Araştırmacılar daha sonra gerçek dünyadan bir örnek sergilediler. Dünyanın en popüler tarayıcıları olan Chrome, Edge ve Firefox için tarayıcı trafiğini kesmelerine yardımcı olan “RedDriver” adlı kötü amaçlı bir sürücüyü yüklemek için HookSignTool’u kullandılar. Ayrıca Çin’de popüler olan tarayıcılardan geçen trafiği de yakalamayı başardılar.
Araştırmacılar, “FuckCertVerifyTimeValidity, “CertVerifyTimeValidity” API çağrısına eklemek için Microsoft Detours paketini kullanması ve zaman damgasını seçilen bir tarihe ayarlaması açısından HookSignTool’a benzer bir şekilde çalışıyor” dedi. “HookSignTool’dan farklı olarak, FuckCertVerifyTimeValidity imzaladığı ikili dosyada eserler bırakmaz, bu da bu aracın ne zaman kullanıldığının tespit edilmesini çok zorlaştırır.”
Analiz: Neden önemli?
Tüm güvenlik açıkları aynı değildir. Bazılarını kötüye kullanmak daha zordur, diğerleri ise vahşi doğada mevcut olan çalışan istismarlara sahiptir. Düşük vasıflı bilgisayar korsanları tarafından bile kolayca alınabilen ve kullanılabilen, çalışan bir istismara sahip olan bu gibi güvenlik açıkları son derece tehlikelidir. Bu kusur, Çinli bilgisayar korsanları tarafından tespit edildiğini düşünürsek daha da tehlikeli. Bu tehdit aktörleri, özellikle de devlet destekliyseler, her zaman yeni yollar ararlar ve amaçları genellikle siber casusluk, veri ve kimlik Hırsızıve kritik altyapı sistemlerinin bozulması. Siber güvenlik uzmanları, bu yolları belirleyerek ve bloke ederek, ülkelerindeki büyük kuruluşların genel siber güvenlik duruşunu büyük ölçüde geliştiriyor.
Bu özel durumda, siber dolandırıcılar Kendi Savunmasız Sürücünüzü Getirin (BYOVD) olarak bilinen bir teknik kullanıyor. Bu, basit bir dayanağı olan popüler bir tekniktir: bilinen bir güvenlik açığına sahip eski bir sürücüyü bir sisteme yükleyin ve ardından bu güvenlik açığını erişim elde etmek, ayrıcalıkları yükseltmek ve nihayetinde kötü amaçlı yazılım yüklemek için kullanın.
Bu tehdide karşı savunma yapmak için Cisco Talos araştırmacıları, belirtilen tüm sertifikaların engellenmesini önermektedir. Burada, çünkü BT ekipleri kötü amaçlı sürücüleri kendi başlarına tespit etmek için mücadele edecek. Ayrıca bunlar, dosya karmalarına veya onları imzalamak için kullanılan sertifikalara dayalı olarak en etkili şekilde engellenir. Araştırmacılar ayrıca, Microsoft’un yukarıda belirtilen tüm sertifikaları engellediğini ve kullanıcıların daha fazla bilgi için Microsoft’un danışma belgesine başvurabileceğini söyledi.
“Microsoft, kötü amaçlı olanlar yerine savunmasız sürücülere odaklanmasına rağmen, Windows içinde bir sürücü engelleme listesi uygular ve sürdürür” dediler. “Bu nedenle, bu engelleme listesine yalnızca rootkit’leri veya kötü amaçlı sürücüleri engellemek için güvenilmemelidir.”
Diğerleri saldırılar hakkında ne dedi?
Yazısında, Ars Teknik Microsoft’u, istismar sonrası senaryolarda kullanılan kötü amaçlı sürücüler sorununa bir köstebek vurma oyunu olarak yaklaşmaya devam ettiğini söyleyerek geçici olarak eleştirdi. “Yaklaşım, kötü niyetli olarak kullanıldığı bilinen sürücüleri engellemek, ancak açık boşluğu kapatmak için hiçbir şey yapmamaktır” diyor. “Bu, saldırganların aynı şeyi yapmak için yeni bir sürücü grubunu kullanma özgürlüğüne sahip olmasını sağlıyor. Geçmişte ve şimdi tekrar gösterildiği gibi, Microsoft genellikle yıllardır kötü amaçlarla kullanılan sürücüleri tespit etmekte başarısız oluyor.”
Bununla birlikte, aynı makale, çalışan bir çözüm bulmanın zor olduğunu vurgulamaktadır çünkü birçok güvenlik açığı bulunan sürücü, ödeme yapan birçok müşteri tarafından yasal olarak hala kullanılmaktadır. “Bu tür sürücülerin iptali, dünya çapında çok önemli yazılımların aniden çalışmayı durdurmasına neden olabilir.”
Yayına göre umut ışığı, kusurun çalışması için sistemin önceden kullanılması gerektiği, bu nedenle en iyi savunmanın en başta taviz vermemek olduğu.
Uyku Bilgisayarı, Öte yandan, Microsoft’a ulaştı ve şirket bunu bir güvenlik açığı olarak görmediği için kusurun bir CVE almayacağı söylendi. Yayın, “Cisco ve Sophos tarafından keşfedilen sertifikalar şu anda iptal edilmiş olsa da, daha fazla sertifikanın açığa çıkması veya çalınması nedeniyle risk ortadan kalkmaktan çok uzak, bu da tehdit aktörlerinin bu Windows politika boşluğunu kötüye kullanmaya devam etmesine izin veriyor” diyor. Sophos’un güvenlik yazılımını kapatmak için “EDR Katili” olarak kullanılan yüzden fazla kötü amaçlı çekirdek sürücüsü bulduğunu hatırlatır.
Daha derine git
Daha fazlasını öğrenmek istiyorsanız, şurayı okuyarak başlayın: Microsoft’un son hamleleri öncelikle bu tür saldırıların olmasını önlemek için. Bundan sonra, listemize göz attığınızdan emin olun. en iyi antivirüs programları etrafında, ayrıca en iyi kötü amaçlı yazılım temizleme programlar. Son olarak, aşağıdakilerle ilgili kapsamlı kılavuzumuzu okumalısınız: günümüzün en iyi güvenlik duvarları.