Haberler

Windows 10 Arka Plan Görüntü Aracı Kötü Amaçlı Yazılımlar İndirmek İçin Suistimal Edilebilir

Masaüstü ve kilit ekranı için görüntü ayarlamaktan sorumlu bir Windows 10 ikilisi, saldırganların alarma takılmadan bir sisteme kötü amaçlı yazılım indirmelerine yardımcı olabilir.

Living-off-the-land binaries(LoLBins) olarak bilinen bu dosyalar işletim sistemi ile gelir ve meşru bir amacı vardır. Saldırganlar bu dosyaları istismar sonrası kötü niyetli etkinlikleri gizlemek için kullanıyorlar.

Saldırgan, kötü amaçlı yazılım indirmek ve yüklemek, UAC(Kullanıcı Hesap Denetimi) veya WDAC(Windows Defender Uygulama Denetimi) gibi güvenlik kontrollerini atlamak için LoLBins’i kullanabilir. Genellikle saldırı fileless malware ve saygın bulut servislerini içerir.

Cisco Talos ta yaklaşık bir sene önce yayınlanan bir raporda kötü amaçlı kod indirip çalıştırabilen 13 adet yerel yürütülebilir dosyanın listesi:

  • powershell.exe
  • bitsadmin.exe
  • certutil.exe
  • psexec.exe
  • wmic.exe
  • mshta.exe
  • mofcomp.exe
  • cmstp.exe
  • windbg.exe
  • cdb.exe
  • msbuild.exe
  • csc.exe
  • regsvr32.exe

SentinelOne Araştırmacıları, Windows 10’un system32 klasöründe bulunan “desktopimgdownldr.exe” nin de LoLBin olarak kullanılabileceğini keşfettiler. Yürütülebilir bu dosya, diğerlerinin yanı sıra kilit ekranı ve masaüstü arka plan görüntülerini tanımlamayı sağlayan kişiselleştirme CSP’sinin(Yapılandırma Hizmeti Sağlayıcısı) bir parçası.

Her iki durumda da, ayar yerel olarak veya uzakta saklanan JPG, JPEG, PNG dosyalarını kabul eder.(HTTP/S Url’lerini destekler).

SentinelOne’dan Gal Kristal’a göre bu yürütülebilir dosyayı yönetici ayrıcalıklarıyla çalıştırmanın, kullanıcı tanımlı kilit ekranı görüntüsünü geçersiz kıldığı ve şüpheli bir şeyin uyarıldığını söylüyor.

Ancak saldırgan, ikili dosyayı yürüttükten hemen sonra bir kayıt defteri değerini silerse, kullanıcı uyarılmıyor.

Kristal yürütülebilir dosyanın C:\ Windows dizininde  ve kayıt defterinde oluşturulabilmesi için yüksek ayrıcalıklar(admin) gerektiriyor gibi görünmesine karşın, harici bir kaynaktan dosya indirebilmek için standart bir kullanıcının da yeterli olacağını buldu.

Cisco Talos raporuna buradan ulaşabilirsiniz.

SentinelOne’dan Gal Kristal’ın konuyla alakalı detaylı bildirisine buradan ulaşabilirsiniz.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu