Vir\u00fcsten koruma yaz\u0131l\u0131m\u0131 ve izinsiz giri\u015f tespit sistemlerinden tespit edilmekten ka\u00e7an siber sald\u0131r\u0131lar\u0131n anahtar\u0131, genellikle i\u015fletim sistemi s\u00fcre\u00e7lerinden yararlanmakt\u0131r. Bu, Kaspersky ara\u015ft\u0131rmac\u0131lar\u0131 taraf\u0131ndan yak\u0131n zamanda ke\u015ffedilen dosyas\u0131z bir Windows a\u00e7\u0131\u011f\u0131n\u0131n bir \u00f6zelli\u011fidir.<\/p>\n
Dosyas\u0131z k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m, bilgisayar\u0131n veri deposuna yeni dosyalar yazmadan bilgisayar sistemlerine sald\u0131r\u0131r. Vir\u00fcsten koruma yaz\u0131l\u0131m\u0131 bir sabit s\u00fcr\u00fcc\u00fcde k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m taramas\u0131 yaparsa, dosyas\u0131z sald\u0131r\u0131yla ilgili herhangi bir dosya bulamaz. Siber tehdit akt\u00f6rleri aras\u0131nda pop\u00fcler bir \u015fa\u015f\u0131rtma tekni\u011fidir.Kaspersky, bu yeni istismara belirli bir isim vermedi. Kaspersky’den Denis Legezo, istismara dahil olan baz\u0131 DLL’lerin (Windows Dinamik Ba\u011flant\u0131 Kitapl\u0131klar\u0131) ticari s\u0131zma testi platformlar\u0131ndaki ara\u00e7lara benzedi\u011fini a\u00e7\u0131klad\u0131:<\/p>\n
\u201cTicari ara\u00e7larla ilgili olarak, bu kampanyada SilentBreak ve Cobalt Strike ara\u00e7 seti kullan\u0131m\u0131n\u0131n izleri olduk\u00e7a belirgin. ThrowbackDLL.dll ve SlingshotDLL.dll adl\u0131 truva atlar\u0131 bize SilentBreak’in \u00e7er\u00e7evesindeki ara\u00e7lar olan Throwback ve Slingshot’\u0131 hat\u0131rlat\u0131rken, dropper (sb.dll) ile ili\u015fkili ‘sb’ \u00fcreticinin ad\u0131n\u0131n bir k\u0131saltmas\u0131 olabilir.<\/p>\n
Burada, ikili dosyalar i\u00e7indeki birka\u00e7 .pdb yolunun projenin C:\\Users\\admin\\source\\repos\\drx\\ dizinini ve drxDLL.dll gibi Throwback veya Slingshot’tan sonra adland\u0131r\u0131lmayan di\u011fer mod\u00fclleri i\u00e7erdi\u011finden<\/p>\n
Yeni istismar, k\u00f6t\u00fc ama\u00e7l\u0131 shellkodu Windows olay g\u00fcnl\u00fcklerine yerle\u015ftirir. \u201cLog4Shell\u201d ve \u201cSpring4Shell\u201d gibi temel kod kitapl\u0131klar\u0131n\u0131 kullanan siber sald\u0131r\u0131lar, siber g\u00fcvenlik camias\u0131n\u0131n son zamanlardaki endi\u015feleri. Bu y\u00fczden bu sald\u0131r\u0131ya “ThrowShell” ad\u0131n\u0131 verece\u011fiz.<\/p>\n
“ThrowShell” nas\u0131l \u00e7al\u0131\u015f\u0131r?<\/p>\n
ThrowShell sald\u0131r\u0131s\u0131, bir kullan\u0131c\u0131y\u0131 Cobalt Strike mod\u00fcl\u00fcne sahip bir dosya indirmeye ikna ederek ba\u015flar. Kaspersky ara\u015ft\u0131rmac\u0131lar\u0131 bunu, ara\u015ft\u0131rmac\u0131lar\u0131n me\u015fru oldu\u011funu d\u00fc\u015f\u00fcnd\u00fc\u011f\u00fc bir dosya payla\u015f\u0131m sitesi olan file.io arac\u0131l\u0131\u011f\u0131yla da\u011f\u0131t\u0131lan Cobalt Strike sertifikas\u0131na sahip bir RAR ar\u015fiv dosyas\u0131 olarak g\u00f6zlemledi. Evet, \u201cThrowShell\u201d bir Truva At\u0131 olarak ba\u015flar. Ancak ilgin\u00e7 bir \u015fekilde, Firefox’ta file.io’yu ziyaret etmeye \u00e7al\u0131\u015ft\u0131\u011f\u0131n\u0131zda Malwarebytes Browser Guard uzant\u0131s\u0131 siteyi \u015f\u00fcpheli bir kimlik av\u0131 alan\u0131 olarak engeller.<\/p>\n
Truva atlar\u0131yla birlikte alg\u0131lama \u00f6nleyici sarmalay\u0131c\u0131lar kullan\u0131l\u0131r. MSVC, Go derleyici 1.17.2 ve MinGW alt\u0131ndaki GCC, ara\u015ft\u0131rmac\u0131lar\u0131n g\u00f6rd\u00fc\u011f\u00fc derleyicilerdir.<\/p>\n
RAR dosyas\u0131 ay\u0131kland\u0131ktan ve i\u00e7eri\u011fi y\u00fcr\u00fct\u00fcld\u00fckten sonra, sald\u0131rgan\u0131n hedeflenen cihaza ek k\u00f6t\u00fc ama\u00e7l\u0131 DLL’ler g\u00f6ndermesi \u00e7ok daha kolayd\u0131r.<\/p>\n
Werfault.exe, ThrowShell taraf\u0131ndan kod enjeksiyonu i\u00e7in hedeflenen ilk Windows y\u00fcr\u00fct\u00fclebilir dosyas\u0131d\u0131r. Windows 10 ve Windows 11’de Microsoft Windows Hata Raporlama Hata Raporlay\u0131c\u0131s\u0131d\u0131r. S\u00fcrecin Windows’ta sundu\u011fu \u00f6nemli rol, dosyan\u0131n u\u00e7 nokta g\u00fcvenlik uygulamalar\u0131nda beyaz listeye al\u0131nmas\u0131n\u0131 sa\u011flar. Neredeyse svchost.exe’yi kullanmak kadar sinsi.<\/p>\n
K\u00f6t\u00fc ama\u00e7l\u0131 y\u00fcr\u00fct\u00fclen kod, ara\u015ft\u0131rmac\u0131lar\u0131n imzalanm\u0131\u015f herhangi bir me\u015fru kod g\u00f6rmedi\u011fi \u201cFast Invest\u201d adl\u0131 bir uygulama i\u00e7in bir sertifika ile imzaland\u0131. Ay\u0131kland\u0131ktan, \u015fifresi \u00e7\u00f6z\u00fcld\u00fc\u011f\u00fcnde ve imzaland\u0131ktan sonra ThrowShell’in k\u00f6t\u00fc niyetli kodu, Cobalt Strike pentesting yaz\u0131l\u0131m\u0131yla damlal\u0131k enjeksiyonu yoluyla Windows i\u00e7inde yay\u0131l\u0131r. Windows’un t\u00fcm desteklenen s\u00fcr\u00fcmleri i\u00e7in ana dosya y\u00f6neticisi olan Explorer.exe, ThrowShell’in kod enjeksiyonu i\u00e7in hedefledi\u011fi i\u015flemlerden biridir. Dosyas\u0131z k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m genellikle b\u00f6yle \u00e7al\u0131\u015f\u0131r; s\u0131radan i\u015fletim sistemi s\u00fcre\u00e7lerine k\u00f6t\u00fc ama\u00e7l\u0131 kod enjekte edin ve bu \u015fekilde y\u00fcr\u00fct\u00fcn.<\/p>\n
\u00c7e\u015fitli s\u0131radan Windows DLL’leri ve s\u00fcre\u00e7leri arac\u0131l\u0131\u011f\u0131yla yay\u0131l\u0131rken, kabuk kodu sonunda Windows olay g\u00fcnl\u00fcklerine eklenir. Ara\u015ft\u0131rmac\u0131lar, \u015fu anda bellekte \u00e7al\u0131\u015fan i\u015flemlerde MachineGUID, bilgisayar adlar\u0131, yerel IP adresleri, i\u015fletim sistemi s\u00fcr\u00fcm\u00fc, CPU mimarisi ve SeDebugPrivilege durumu i\u00e7in ThrowShell parmak izi Windows hedeflerini g\u00f6rd\u00fcler.<\/p>\n
Bunlar\u0131n hepsi, istemci Windows hedeflerine bula\u015fman\u0131n, do\u011frudan belle\u011fe girmenin, alg\u0131lamadan ka\u00e7\u0131nman\u0131n, kal\u0131c\u0131l\u0131k olu\u015fturman\u0131n ve do\u011frudan Windows kabu\u011funa bir arka kap\u0131 sa\u011flaman\u0131n ger\u00e7ekten gizli bir yoludur. Bu g\u00fcvenlik a\u00e7\u0131\u011f\u0131, sald\u0131rgan\u0131n y\u00f6netici ayr\u0131cal\u0131klar\u0131yla her t\u00fcrl\u00fc k\u00f6t\u00fc ama\u00e7l\u0131 etkinli\u011fi ger\u00e7ekle\u015ftirmesinin kolay bir yolu ile bir Windows istemcisinde aylarca veya daha uzun s\u00fcre kalabilir.<\/p>\n
<\/p>\n
<\/p>","protected":false},"excerpt":{"rendered":"
Vir\u00fcsten koruma yaz\u0131l\u0131m\u0131 ve izinsiz giri\u015f tespit sistemlerinden tespit edilmekten ka\u00e7an siber sald\u0131r\u0131lar\u0131n anahtar\u0131, genellikle i\u015fletim sistemi s\u00fcre\u00e7lerinden yararlanmakt\u0131r. Bu, Kaspersky ara\u015ft\u0131rmac\u0131lar\u0131 taraf\u0131ndan yak\u0131n zamanda ke\u015ffedilen dosyas\u0131z bir Windows a\u00e7\u0131\u011f\u0131n\u0131n bir \u00f6zelli\u011fidir. Dosyas\u0131z k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m, bilgisayar\u0131n veri deposuna yeni dosyalar yazmadan bilgisayar sistemlerine sald\u0131r\u0131r….<\/p>","protected":false},"author":2,"featured_media":8116,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[257],"tags":[],"class_list":["post-8115","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog"],"acf":[],"yoast_head":"\n