Windows Bind Link Saldırıları: EDR Araçlarını Atlatarak Kötü Amaçlı Yazılım Gizleme Yazılım

Windows Bind Link Saldırıları: EDR Araçlarını Atlatarak Kötü Amaçlı Yazılım Gizleme

Bitdefender araştırmacıları, Windows'un bind link özelliğini manipüle ederek EDR araçlarını atlatmanın üç farklı yolunu ortaya çıkardı.

Siber güvenlik araştırmacıları, Windows işletim sistemindeki bind link adlı meşru bir özelliğin, uç nokta tespit ve yanıt (EDR) ürünlerini atlatmak amacıyla kullanılabileceğini keşfetti. Bitdefender güvenlik firması tarafından yapılan araştırmada, bind linklerin çekirdek seviyesinde bir yönlendirme mekanizması olduğu ve normalde Windows Mağaza uygulamaları, Windows Sandbox ve konteynerler gibi bileşenler tarafından kullanıldığı belirtiliyor. Ancak bu özellik, kötü niyetli kullanıcılar tarafından manipüle edildiğinde, zararlı yazılımların sistem tarafından fark edilmeden çalıştırılmasına olanak tanıyor.

Bind linkler, aslında bir dosyayı başka bir yola yönlendiren bir çapraz bağlantı (symlink) türüdür. Normalde meşru işlemler için kullanılırken, saldırganlar bu bağlantıyı değiştirerek bir DLL veya çalıştırılabilir dosyayı kendi kötü amaçlı yazılımlarına yönlendirebiliyor. Örneğin, bir uygulama güvendiği bir yoldan bir DLL yüklemek istediğinde, aslında saldırganın kontrolündeki bir dosyayı yüklemiş oluyor. Bu durum, EDR araçlarının dosya yolunu kontrol ettiği ancak asıl içeriği göremediği için tespit edilemiyor.

Bitdefender'ın tespit ettiği ilk teknik 'dosya bağlama' (file-binding) olarak adlandırılıyor. Bu yöntemde, saldırgan bir DLL yolunu ele geçirerek AMSI (Antimalware Scan Interface) gibi güvenlik mekanizmalarını etkisiz hale getirebiliyor. Örneğin, PowerShell normalde komut dosyalarını taramak için amsi.dll dosyasını yükler. Ancak saldırgan, bir bind link oluşturarak bu DLL'i kendi sahte dosyasına yönlendirebiliyor. Böylece PowerShell, güvendiği yoldan DLL'i yüklerken, aslında zararlı kodu çalıştırmış oluyor. AMSI devre dışı bırakılırken, EDR aracı sadece meşru yolu gördüğü için herhangi bir uyarı vermiyor.

Uzmanların Görüşleri

İkinci teknik ise 'işlem bağlama' (process-binding) olarak adlandırılıyor. Bu yöntemde, saldırgan bir çalıştırılabilir dosyayı (örneğin winver.exe) hedef alıyor. EDR aracı, bir işlem başlatıldığında dosya yolunu kontrol eder ve güvenilir olduğunu düşündüğü bir dosyayı (winver.exe) inceler. Ancak bind link sayesinde aslında saldırganın kötü amaçlı yazılımı çalıştırılmaktadır. EDR, yanlış dosyayı incelediği için kötü amaçlı yazılımı tespit edemez. Ancak bu yöntemin bir zayıflığı, bind linkin global olması nedeniyle diğer tarayıcılar tarafından fark edilebilmesidir. Bu sorunu aşmak için saldırganlar, üçüncü bir teknik olan 'silo bağlama' (silo-binding) yöntemini kullanabilir.

Silo bağlama, Windows silolarını (silo) kullanarak izole bir dosya sistemi görünümü oluşturur. Saldırgan, bir silo içinde işlemler çalıştırarak bind linkleri yalnızca silo içinde geçerli hale getirebilir. Bu sayede, silo dışındaki tarayıcılar ve EDR araçları, silo içindeki dosyalara erişemez ve kötü amaçlı yazılımı tespit edemez. Silo içinde ise bind link doğru şekilde çalışarak zararlı kodu çalıştırır. Araştırmacılar, silo bağlamanın AppLocker, Windows Güvenlik Duvarı ve Sysmon gibi güvenlik mekanizmalarını da atlatabildiğini gösterdi. Ayrıca, silo bağlama kullanıldığında popüler bir kötü amaçlı yazılım olan Mimikatz'ın EDR tarafından tespit edilemediği belirtildi.

Microsoft, Bitdefender'ın bulgularını düşük önem derecesinde değerlendirdi çünkü saldırının yönetici yetkileri gerektirdiğini belirtti. Ancak Bitdefender, siber suçluların sıklıkla yönetici erişimi elde ettiğini vurgulayarak bu tehdidin ciddiyetine dikkat çekti. Bind link saldırıları, özellikle post-exploitation aşamasında güçlü bir gizlenme aracı olarak kullanılabiliyor. Kullanıcıların ve kuruluşların, bu tür saldırılara karşı korunmak için davranışsal analiz ve anomali tespitine dayalı güvenlik önlemleri alması öneriliyor. Ayrıca, sistem yöneticilerinin gereksiz sürücü imzalama politikaları ve en az ayrıcalık ilkesini uygulaması önem taşıyor.

Kaynak: securityweek.com

Paylaş: