Siber güvenlik dünyasında, saldırganlar sürekli olarak savunma mekanizmalarını aşmanın yeni yollarını arıyor. Son olarak Bitdefender araştırmacıları, Windows işletim sisteminin meşru bir dosya sistemi sanallaştırma yeteneği olan Bind Link (Bağlantı Bağı) özelliğini suistimal eden üç yeni teknik keşfetti. Bu teknikler, yönetici ayrıcalıklarına sahip saldırganların, güvenlik açığı olan bir sürücüyü istismar etmeden veya güvenilir ikili dosyaları değiştirmeden uç nokta güvenlik çözümlerini atlatmasına olanak tanıyor. Araştırmacılar, bu tekniklerin "EDR sensörlerini kör etmek ve AMSI ve AppLocker gibi yerleşik Windows savunmalarını atlatmak" için kullanılabileceğini belirtiyor.
File Binding (Dosya Bağlama), Process-Binding (İşlem Bağlama) ve Silo-Binding (Silo Bağlama) adı verilen bu üç teknik, Windows'un Bind Filter sürücüsü "bindflt.sys" dosyasının dosya yollarını bellekte nasıl yönlendirdiğinden yararlanıyor. Bindflt.sys, normalde dosya sistemi erişimlerini sanal bir bağlantı noktasına yönlendirmek için kullanılırken, saldırganlar bu mekanizmayı kötüye kullanarak güvenlik araçlarının temiz dosyalarla meşgul olmasını sağlarken, kötü amaçlı dosyaların tespit edilmeden çalışmasına olanak tanıyor. Bu durum, özellikle kurumsal ağlarda ciddi bir tehdit oluşturuyor.
File Binding tekniği, saldırganın bir dosyayı başka bir dosyaya bağlamasıyla çalışıyor. Örneğin, kötü amaçlı bir DLL dosyası, meşru bir sistem DLL'sine bağlanarak, güvenlik yazılımının tarama yaptığı sırada temiz dosyanın taranmasını sağlarken, kötü amaçlı dosya bellekte çalıştırılıyor. Bu sayede, EDR çözümleri dosya sisteminde şüpheli bir aktivite görmese de, aslında kötü amaçlı yazılım sistemde faaliyet gösteriyor olabiliyor. Bitdefender, bu tekniğin özellikle dosya tabanlı tarama yapan güvenlik ürünlerini atlatmada etkili olduğunu vurguluyor.
Detaylar ve Etkileri
Process-Binding ise, bir işlemin çalışma zamanında başka bir işlemin bağlamına bağlanmasını içeriyor. Saldırgan, meşru bir işlemi (örneğin, bir Microsoft imzalı yürütülebilir dosya) başlatıyor ve ardından kötü amaçlı kodu bu işlemin içine enjekte ediyor. Bu teknik, AMSI (Anti-Malware Scan Interface) gibi komut dosyası tabanlı saldırıları engelleyen mekanizmaları atlatmak için kullanılıyor. AMSI, PowerShell veya VBScript gibi komut dosyalarını analiz ederken, Process-Binding sayesinde kötü amaçlı kod meşru bir işlem içinde çalıştığı için AMSI tarafından tespit edilemiyor.
Sistem Güvenliği
Silo-Binding tekniği ise, Windows'un uygulama siloları (AppContainers) arasında bağlantı kurarak çalışıyor. Saldırgan, düşük ayrıcalıklı bir siloda çalışan bir işlemi, yüksek ayrıcalıklı bir siloya bağlayarak ayrıcalık yükseltme veya güvenlik kısıtlamalarını aşma imkanı buluyor. Bu teknik, özellikle modern Windows güvenlik modellerini hedef alıyor ve AppLocker gibi uygulama denetim politikalarını devre dışı bırakabiliyor. Bitdefender araştırmacıları, Silo-Binding'in kötü amaçlı yazılımların kısıtlı bir ortamda çalışmasına rağmen sistem kaynaklarına tam erişim elde etmesine olanak tanıdığını belirtiyor.
Bu tekniklerin keşfi, kurumsal güvenlik ekipleri için önemli bir uyarı niteliği taşıyor. Geleneksel dosya tabanlı tarama ve davranışsal analiz yöntemleri, bu tür bağlama saldırılarını tespit etmekte yetersiz kalabiliyor. Güvenlik uzmanları, EDR çözümlerinin yanı sıra, bellek tabanlı tespit mekanizmalarının da güçlendirilmesi gerektiğini vurguluyor. Ayrıca, Bind Filter sürücüsünün kullanımını sınırlamak veya belirli bağlantı noktalarını izlemek gibi ek güvenlik önlemleri alınması öneriliyor. Bitdefender, bu tekniklerin henüz yaygın olarak kullanılmadığını ancak saldırganların dikkatini çekmesi halinde kısa sürede popüler hale gelebileceği konusunda uyarıyor.
Sonuç olarak, Windows Bind Link teknikleri, siber güvenlik dünyasında yeni bir saldırı vektörü olarak karşımıza çıkıyor. Bu tür saldırılara karşı korunmak için, güvenlik ekiplerinin sadece dosya sistemi değil, aynı zamanda bellek ve işlem düzeyinde de izleme yapması gerekiyor. Ayrıca, en düşük ayrıcalık prensibi ve uygulama beyaz listeleme gibi temel güvenlik önlemleri bu tür saldırıların etkisini azaltabilir. Bitdefender'ın uyarıları, Windows tabanlı ağlarda çalışan tüm güvenlik profesyonelleri için dikkate alınması gereken önemli bir hatırlatma niteliğinde.
Kaynak: csoonline.com