Windows sistemlerinde yönetici haklarına sahip saldırganlar, uç nokta güvenlik çözümlerini atlatmak için yeni teknikler geliştirdi. Bitdefender araştırmacıları, meşru bir dosya sistemi sanallaştırma yeteneği olan Windows Bind Link'leri kötüye kullanan üç farklı yöntem tespit etti. Bu teknikler, güvenlik araçlarının temiz dosyalarla meşgul olmasını sağlarken kötü amaçlı kodun fark edilmeden çalışmasına olanak tanıyor.
File Binding, Process-Binding ve Silo-Binding olarak adlandırılan bu teknikler, Windows'un Bind Filter sürücüsü 'bindflt.sys' tarafından dosya yollarının bellekte nasıl yönlendirildiğini istismar ediyor. Araştırmacılar, bu yöntemlerin 'EDR sensörlerini kör etmek ve AMSI ile AppLocker gibi yerleşik Windows savunmalarını atlamak' için kullanılabileceğini belirtiyor.
File Binding tekniği, saldırganların meşru bir dosyayı (örneğin bir DLL) başka bir konuma bağlamasına ve bu bağlantıyı kullanarak kötü amaçlı kodu çalıştırmasına olanak tanır. Bu sayede, güvenlik yazılımları imzalı ve güvenilir bir dosyayı tararken aslında zararlı kod çalıştırılmış olur.
Process-Binding ise bir işlemin dosya sistemi görünümünü değiştirerek belirli bir süreç için özel bir bağlama oluşturur. Bu, örneğin bir PowerShell işleminin normalde erişemeyeceği bir dosyaya erişmesini sağlayarak AMSI gibi politika kontrollerini atlatabilir.
Silo-Binding tekniği ise Windows kapsayıcıları veya siloları içinde çalışır. Bir silo içinde oluşturulan bağlantılar, ana sistemdeki güvenlik kontrollerini atlayarak dosyaların farklı bir bağlamda görünmesini sağlar. Bu, özellikle sunucu ortamlarında ciddi risk oluşturur.
Teknik Analiz
Bu teknikler, halihazırda yönetici ayrıcalıklarına sahip saldırganlar için tasarlanmış olsa da, güvenlik ekiplerinin farkındalığını artırması kritik önem taşıyor. Bitdefender, bu tür saldırılara karşı korunmak için dosya sistemi izleme araçlarının güncellenmesi, Bind Filter sürücüsüne yönelik davranışsal analizlerin yapılması ve en az ayrıcalık ilkesinin sıkı uygulanmasını öneriyor.
Kaynak: csoonline.com