Microsoft SmartScreen ve Smart App Control’ü (SAC) Baypass Yöntemleri ile Zararlı Yazılımları Dağıtmak!

Microsoft SmartScreen, Microsoft ürünleri (Microsoft Edge, Internet Explorer ve Windows gibi) ile entegre olan bulut tabanlı bir kimlik avı ve kötü amaçlı yazılımlara karşı koruma bileşenidir. Kullanıcıları kötü niyetli web sitelerinden ve indirmelerden korumak için tasarlanmıştır.

Bu makalenın amacı BT ekiplerinde ve kullanıcılarda farkındalık yaratmaktır.

Temel Özellikler:

Nasıl Çalışır?

Smart App Control (SAC)

Smart App Control (SAC), Windows’ta çalışan zararlı veya istenmeyen uygulamaları engellemek için tasarlanmış bir güvenlik özelliğidir. Windows Defender Application Control’ün (WDAC) bir evrimi olan SAC, bulut tabanlı zeka ve makine öğrenimini kullanarak gelişmiş koruma sağlar.

Temel Özellikler:

Nasıl Çalışır?

Microsoft SmartScreen ve SAC’i Bypass Etmenin Beş Yolu

1. Geçerli Dijital İmzalı Zararlı Yazılımla SmartScreen ve SAC’i Bypass Etmek

Geçerli Dijital İmzalar:

Kompromize Edilmiş Sertifika Otoriteleri:

Bir Sertifika Otoritesi (CA) ele geçirildiğinde, saldırganlar zararlı yazılımlarına geçerli sertifikalar alabilirler. Bu şekilde imzalanan zararlı yazılım, güvenilir bir kaynak olarak görünebilir.

Timing Saldırıları:

Saldırganlar, bir sertifika verildiğinde ve iptal edilene kadar geçen süreyi kullanarak, zararlı yazılımın güvenlik kontrollerini aşması için kullanabilir.

Orjinal Yazılım Bileşenlerinin Kullanımı:

Saldırganlar, zararlı yazılımlarını orjinal yazılım bileşenleriyle entegre edebilirler. Bu, zararlı kodun güvenilir bir uygulama gibi görünmesine neden olur ve güvenlik özellikleri tarafından fark edilmez.

Sosyal Mühendislik:

Saldırganlar, kullanıcılara güvenlik uyarılarını göz ardı etmeleri konusunda ikna edici sosyal mühendislik tekniklerini kullanabilir. Örneğin, bir uygulama SmartScreen veya SAC tarafından engellenirse, saldırgan kullanıcıyı engeli manuel olarak aşması için kandırabilir.

İtibar Saldırıları ile SmartScreen ve SAC’i Bypass Etmek

Ele Geçirilmiş Güvenilir Web Siteleri:

Saldırganlar, itibarı yüksek olan güvenilir bir web sitesini ele geçirip zararlı içerik veya yazılım yerleştirir. SmartScreen, sitenin geçmişteki itibarı nedeniyle kullanıcıyı uyarmayabilir.

Güvenilir Alan Adları ve Sertifikalar:

Saldırganlar, güvenilir sertifika otoritelerinden geçerli SSL sertifikaları ile donatılmış alan adlarını kullanarak zararlı yazılım barındırabilir. SmartScreen ve SAC, geçerli bir sertifikayı güvenli kabul ettiği için bu tür siteler kolayca kontrolleri aşabilir.

Orjinal Yazılıma Zararlı Yazılım Entegre Etmek:

Saldırganlar, orjinal yazılıma zararlı kod enjekte eder. Güvenilir bir yazılım güncellemesi gibi görünen bu işlem, zararlı yazılımı herhangi bir uyarı vermeden sistemlere taşır.

3. Reputation seeding ile SmartScreen ve SAC’i Bypass Etmek

Reputation seeding, saldırganların zararlı alan adları, yazılımlar veya e-posta hesapları için uzun süre boyunca olumlu bir itibar oluşturma taktiğidir. SmartScreen ve SAC bu itibara dayanarak zararlı yazılımların güvenli olduğunu düşünebilir.

Reputation seeding Zaman Çizelgesi

Web Siteleri:

Yazılımlar:

E-posta Hesapları:

4. Reputation tampering ile SmartScreen ve SAC’i Bypass Etmek

Saldırganlar, SAC’in dosya itibarını nasıl değerlendirdiğini öğrenip dosyalardaki bazı kısımları değiştirebilir. Bu küçük değişiklikler, dosyanın güvenilir görünmesini sağlarken zararlı yazılımı gizler.

Fuzzy Hashing:

Temelli Benzerlik Karşılaştırmaları:

Makine Öğrenimi Modelleri:

Saldırı: Saldırganlar, deneme yanılma yöntemiyle hangi kod bölümlerinin değiştirilip genel modelin güvenilir olarak tanıdığı kalıbı bozmadan zararlı kod enjekte edilebileceğini belirler.

Yöntem: Bulut tabanlı makine öğrenimi modelleri, büyük bir iyi ve kötü dosya veri kümesi üzerinden öğrenilen desenlere dayanarak dosyaları analiz edebilir. Bu modeller, basit hash değerlerinden öte bir dizi göstergeler kullanabilir.

5. LNK Stomping ile Microsoft SmartScreen ve SAC’in Aşılması

LNK stomping, saldırganların, orjnial gibi görünen LNK (kısayol) dosyalarını değiştirerek zararlı kod çalıştırmalarına olanak tanıyan bir teknikt. LNK dosyalarının esnekliği ve yeteneklerinden faydalanarak saldırganlar Microsoft SmartScreen ve Smart App Control (SAC) gibi güvenlik özelliklerini atlatabilirler.

LNK Stomping Nasıl Çalışır?

Zararlı Bir LNK Dosyası Oluşturmak:

Mevcut LNK Dosyalarını Değiştirmek:

Zararlı Kodu Gömme:

LNK Dosyası Manipülasyonu ile MOTW (Web İşaretlemesi) Bypass Etmek

Mark of the Web (MOTW), internetten indirilen dosyaları işaretleyerek bu dosyaların antivirüs (AV) ve uç nokta tespiti ve yanıt (EDR) sistemleri tarafından ek incelemeye tabi tutulmasını sağlayan kritik bir güvenlik özelliğidir. Ancak, bazı tekniklerle bu özellik atlatılabilir ve zararlı dosyalar tespit edilmeden çalıştırılabilir.

Standart Olmayan Path’e Sahip LNK Dosyasının Manuel Olarak Oluşturulması

Bu adımları izleyerek, SmartScreen ve SAC gibi güvenlik özelliklerinin bu tür dosyalarla nasıl etkileşimde bulunduğunu test etmek için standart olmayan bir hedef yola sahip bir LNK dosyası oluşturabilirsiniz.

Standart LNK Dosyasının Manuel Olarak Oluşturulması

Multi Path’e Sahip LNK Dosyasının Manuel Olarak Oluşturulması

Multi bir path’e sahip bir LNK dosyası oluşturmak için, LNK dosyasının iç yapısını standart olmayan bir hedef yol içerecek şekilde değiştirmemiz gerekir.

PowerShell ve LNK dosyalarıyla çalışmak için Python tabanlı bir kütüphane olan pylnk3 kullanarak böyle bir LNK dosyasını oluşturabilirsiniz.

Gereksinimler:

Multi Path’e Sahip Bir LNK Dosyası Oluşturma

import lnk

# Define the path for the new shortcut
shortcut_path = "C:\\Users\\Public\\Desktop\\MyScriptShortcutMultiLevel.lnk"

# Create a new LNK file
lnk_file = lnk.lnk_file()

# Set the target path with multi-level path entries
lnk_file.add_target_path_entry("..\\..\\Scripts\\MyScript.ps1")

# Set the arguments for the target executable
lnk_file.command_line_arguments = "-File .\\Scripts\\MyScript.ps1"

# Save the LNK file
with open(shortcut_path, "wb") as f:
    lnk_file.write(f)

print(f"Shortcut created at: {shortcut_path}")

Açıklama:

Ek Notlar:

LNK Dosyasını Çalıştırma:

LNK dosyasını oluşturduktan sonra, çift tıklayarak dosyanın davranışını test edebilirsiniz. Oluşturulan LNK dosyası PowerShell betiğini çalıştırmalıdır.

LNK stomping ve diğer zararlı yazılım teknikleri, Microsoft SmartScreen ve Smart App Control (SAC) gibi güçlü güvenlik özelliklerini aşmak için siber suçlular tarafından yaygın olarak kullanılan yöntemlerdir. LNK dosyalarının esnek yapısı, bu dosyaların zararlı komutlar barındırmasına olanak tanırken, kullanıcılar ve güvenlik sistemleri tarafından genellikle meşru dosyalar gibi algılanırlar. Aynı şekilde, fuzzy hashing, itibar tohumlaması ve sosyal mühendislik saldırıları, zararlı yazılımın sistemlere sızmasını kolaylaştıran diğer tekniklerdir.

Bu saldırılara karşı savunma geliştirmek, yalnızca teknolojiye dayalı değil, aynı zamanda kullanıcı farkındalığını da içeren kapsamlı bir yaklaşım gerektirir.

Sistemlerin düzenli olarak güncellenmesi, güvenlik politikalarının titizlikle uygulanması ve kullanıcıların bilinçlendirilmesi, bu tür saldırıların başarıya ulaşmasını engellemek için hayati önem taşır.

Exit mobile version