Bir güvenlik araştırmacısı, veri sileceklerine dönüştürmek için Microsoft, Sentinelone, TrendMicro, AVAST ve AVG'den yaygın olarak kullanılan uç nokta algılama ve yanıtı (EDR) ve antivirüs (AV) yazılımının veri silme yeteneklerinden yararlanmanın bir yolunu bulmuştur.
Silecekler, tehlikeye atılan sistemlerde verileri bilerek silen veya bozan özel bir yıkıcı kötü amaçlı yazılımdır.
SafeBreach araştırmacısı veya Yair, saldırıları daha gizli hale getirmek ve bir tehdit aktörünün yıkıcı saldırılar yapmak için ayrıcalıklı bir kullanıcı olma ihtiyacını ortadan kaldırmak için hedeflenen bir sistemdeki mevcut güvenlik araçlarını kullanma fikrini ortaya koydu.
Ayrıca, veri silme için EDR'lerin ve AV'lerin kötüye kullanılması, güvenlik çözümlerinin dosya silme yetenekleri beklenen davranışlar olduğu ve muhtemelen kaçırılacağı için güvenlik savunmalarını atlamanın iyi bir yoludur.
Antivirüs ve EDR güvenlik yazılımı, kötü amaçlı dosyalar için bir bilgisayarın dosya sistemini sürekli olarak tarar ve kötü amaçlı yazılım algılandığında, karantina yapmayı veya bunları silmeyi deneyin.
Ayrıca, gerçek zamanlı koruma etkinken, bir dosya oluşturuldukça, kötü niyetli olup olmadığını ve eğer öyleyse silinmiş/karantinaya alınmış olup olmadığını belirlemek için otomatik olarak taranır.
Yair, raporunda, "Bir EDR kötü amaçlı bir dosyayı sildiğinde iki ana olay var. İlk olarak, EDR bir dosyayı kötü niyetli olarak tanımlar ve daha sonra dosyayı siler."
"Bu iki olay arasında bir kavşak kullanarak bir şeyler yapabilirsem, EDR'yi farklı bir yola doğru yönlendirebilirim. Bunlara kullanım süresine (Toctou) güvenlik açıklarına deneme zamanı denir.
Yair'in fikri, bir c: \ temp \ windows \ system32 \ sürücü klasörü oluşturmak ve Mimikatz programını ndis.sys olarak klasörde saklamaktı.
Mimikatz, Microsoft Defender da dahil olmak üzere çoğu EDR platformu tarafından tespit edildiğinden, plan bunun yaratılışta kötü niyetli olarak tespit edilmesi içindi. Ancak, EDR dosyayı silmeden önce, araştırmacı C: \ temp klasörünü hızlı bir şekilde siler ve C: \ temp - C: \ Windows'tan bir Windows kavşağı oluşturur.
Umut, EDR'nin kavşak nedeniyle NDIS.sys dosyasını silmeye çalışacağıydı.
Bu işe yaramadı çünkü bazı EDR'ler kötü niyetli olarak tespit edildikten sonra silme de dahil olmak üzere bir dosyaya daha fazla erişimi engelledi. Diğer durumlarda, EDRS kötü amaçlı dosyanın silinmesini tespit etti, böylece yazılım bekleyen silme eylemini reddetti.
Çözüm, kötü amaçlı dosyayı oluşturmak, açık tutarak tutamayı tutmak ve diğer işlemlerin yazmasına/silmesine izin verildiğini tanımlamaktı, böylece EDRS ve AV'ler, silmeyi algılayamaz.
Algılama tetiklendikten ve dosyayı silme hakkına sahip olmadıktan sonra, güvenlik araçları araştırmacıyı sapımı serbest bırakacak bir sistem yeniden başlatmayı onaylamaya ve silme için kötü amaçlı dosyayı serbest bırakmaya teşvik etti.
Dosya silme komutu, bu durumda, yeniden başlatma sırasında silinmesine neden olacak PendingFilerEnAmeoperations kayıt defteri değeri altında yazılmıştır.
Ancak, dosyaları bu değerde silerken, Windows dosyaları "körü körüne" yaparken siler.
Yair, "Ancak bu varsayılan Windows özelliği hakkında şaşırtıcı olan şey, yeniden başlatıldıktan sonra, Windows'un tüm yolları silmeye başlaması ve kavşakları körü körüne takip etmesidir."
Bu nedenle, aşağıdaki beş aşamalı işlemi uygulayarak, Yair, değişiklik ayrıcalıklarına sahip olmadığı bir dizinde dosyaları silebilir.
"Bu istismar, kontrollü klasör erişimi olarak adlandırılan Windows'ta fidye yazılımı koruma özelliği için de etkilidir. Bu özellik, tedavi edilmemiş işlemlerin korunan klasörler listesinde listelenen klasörlerden birinin içinde yer alan herhangi bir dosyayı değiştirmesini veya silmesini önler. Ancak, bir EDR veya AV'den beri, Bir sistemdeki en güvenilir varlıktır, bu özellik bu dosyaları silmelerini engellemez. " - Safe Break.
Analist, istismarını tamamen tespit edilemez olan "Aikido Silecek" adlı bir silecek aracına uyguladı, yönetici kullanıcı dizinlerinde verileri silmek için ayrıcalıksız kullanıcılar tarafından başlatılabilir ve hatta sistemi bile yapamaz hale getirebilir.
Yair, 11 güvenlik aracına karşı istismar test etti ve Microsoft Defender, Endpoint için Defender, Sentinelone EDR, TrendMicro Apex One, Avast Antivirüs ve AVG antivirüsünün savunmasız olduğunu buldu.
Sömürülemeyen güvenlik çözümleri arasında analistin de test ettiği Palo Alto, Cylance, Crowdstrike, McAfee ve Bitdefender bulunmaktadır.
Aikido, Microsoft Defender'da bulunan güvenlik açıkları, Endpoint için defans oyuncusu ve Silecek aracında uygulanması en kolay olanlar oldukları için Sentinelone EDR'ye sahiptir.
Yair, Temmuz ve Ağustos 2022 arasında tüm savunmasız satıcılara kusurları bildirdi ve şimdiye kadar yayınlanan düzeltmeleri yaptı.
Bu konu için satıcılar tarafından atanan güvenlik açığı kimlikleri CVE-2022-37971 (Microsoft), CVE-2022-45797 (trend micro) ve CVE-2022-4173 (Avast ve AVG).
Sabit sürümler:
Yukarıdaki ürünlerin tüm kullanıcılarına, Aikido silecek işlevselliğini taklit eden kötü amaçlı yazılımlar tarafından dosyalarının silinme riskini azaltmak için güvenlik güncellemelerini mümkün olan en kısa sürede uygulaması önerilir.
Bilgisayar korsanları, koordineli tedarik zinciri saldırısında yeni fantezi veri silecek kullanıyor
Yeni Crywiper veri silecek, Belediye Başkanının Ofisleri Rus mahkemelerini hedefliyor
Trojanorder saldırılarının büyük dalgalanmasını hedefleyen magento mağazaları
Bilgisayar korsanları PWN2OWN Toronto'da sömürülen 63 sıfır gün için 989.750 dolar kazanıyor
Twitter, son kullanıcı veri sızıntısının 2021 ihlali olduğunu doğrular
Kaynak: Bleeping Computer