54 edr killer aracı 35 imzalı sürücü açığını kullanarak güvenlik yazılımlarını devre dışı bırakıyor
arkadaşlar, ciddi bir durum var. güvenlik araştırmacıları 54 tane edr killer (yani güvenlik yazılımlarını öldüren) aracı incelemiş ve hepsi aynı numarayı kullanıyormuş: byovd (bring your own vulnerable driver - kendi açıklı sürücünü getir) denen teknik.
peki nedir bu byovd meselesi? şöyle ki, saldırganlar 35 tane imzalı ama açıklı windows sürücüsünü kullanarak sistem çekirdeğine (kernel) erişim sağlıyorlar. “imzalı” diyoruz çünkü microsoft’un dijital imzası var bu sürücülerde, yani windows bunlara güveniyor. ama içlerinde açık var işte, saldırganlar da bunu kullanıp edr yazılımlarını öldürüyorlar.
neden bu kadar önemli bu durum?
spoiler: ransomware çeteleri bu araçları kullanarak önce güvenlik yazılımlarınızı devre dışı bırakıyor, sonra rahatça fidye yazılımını yüklüyorlar. yani siz edr’ınıza güvenirken, arkadan sessizce öldürülüyor.
bu teknik özellikle ransomware saldırılarında çok yaygın hale gelmiş. saldırganlar sistemlere girdikten sonra ilk iş edr killer çalıştırıyorlar, sonra dosyaları şifrelemeye başlıyorlar.
hangi sürücüler hedef alınıyor?
35 tane farklı imzalı sürücü açığı kullanılıyormuş. bunlar genelde:
- asus, gigabyte, msi gibi anakart üreticilerinin yardımcı programlarından gelen sürücüler
- cpu-z, hwinfo gibi donanım izleme araçlarının sürücüleri
- eski sürüm antivirüs yazılımlarının kernel sürücüleri
dikkat: bu sürücülerin çoğu yasal ve imzalı, ama eski sürümleri açıklı.
etkilenen sistemler
| Sistem | Durum |
|---|---|
| Windows Server | ✅ Etkileniyor |
| Windows 10/11 | ✅ Etkileniyor |
| Linux | ❌ Etkilenmiyor |
| macOS | ❌ Etkilenmiyor |
ne yapmalısınız?
1. gereksiz kernel sürücülerini tespit edin
# sistemdeki tüm 3. parti sürücüleri listeleyin
driverquery /v | findstr /i "third"
# imzalanmış sürücüleri kontrol edin
Get-WindowsDriver -Online -All | Select-Object Driver, ProviderName, Version
2. bilinen açıklı sürücüleri engelleyin
microsoft’un “recommended driver block rules” listesini kullanın:
# windows defender application control (wdac) ile sürücü engelleme
# önce politika dosyasını indirin
Invoke-WebRequest -Uri "https://aka.ms/VulnerableDriverBlockList" -OutFile "C:\Temp\SiPolicy.p7b"
# politikayı uygulayın
Copy-Item "C:\Temp\SiPolicy.p7b" -Destination "C:\Windows\System32\CodeIntegrity\SiPolicy.p7b"
edit: bu işlemi yapmadan önce mutlaka test ortamında deneyin. bazı yasal uygulamalarınız çalışmayabilir.
3. edr’ınızı güçlendirin
- edr’ınızın kernel korumasının (tamper protection) açık olduğundan emin olun
- sürücü yükleme olaylarını (driver loading events) loglamaya başlayın
- anormal kernel sürücü yüklemelerini tespit edecek kurallar oluşturun
4. siem’de izleme kuralları oluşturun
# event id 6 - sürücü yükleme olayı
EventID=6 AND (DriverName="*rtcore64.sys" OR DriverName="*gdrv.sys" OR DriverName="*dbutil*.sys")
geçici çözümler
eğer hemen yukarıdaki adımları uygulayamıyorsanız:
- gereksiz yönetici haklarını kısıtlayın: saldırganların bu sürücüleri yükleyebilmesi için yönetici yetkisi gerekiyor
- application whitelisting kullanın: sadece onaylanmış uygulamaların çalışmasına izin verin
- network segmentasyonu: edr’ı devre dışı bırakılsa bile lateral movement’i zorlaştırın
hangi edr killer araçları tespit edilmiş?
araştırmada şu araçlar incelenmiş:
- terminator
- kill-floor
- backstab
- gdrv-loader
- ene-loader
- ve 49 tanesi daha…
spoiler: bu araçların çoğu github’da açık kaynak olarak mevcut. yani herkes erişebiliyor.
saldırı senaryosu nasıl oluyor?
- saldırgan sisteme ilk erişimi sağlıyor (phishing, açık sömürü vs.)
- yönetici yetkisi elde ediyor
- açıklı ama imzalı bir sürücüyü sisteme yüklüyor
- bu sürücü üzerinden kernel seviyesinde erişim sağlıyor
- edr’ın kernel modülünü devre dışı bırakıyor veya öldürüyor
- rahatça ransomware yüklüyor
microsoft’un önerileri
microsoft, “microsoft recommended driver block rules” listesini düzenli güncelliyor. bu listeyi kullanmanızı şiddetle tavsiye ediyorlar:
- windows 11 22h2 ve sonrası: varsayılan olarak etkin
- windows 10/11 eski sürümler: manuel olarak etkinleştirmeniz gerekiyor
- windows server: hypervisor-protected code integrity (hvci) kullanın
tehdit istihbaratı
edit: bu byovd tekniği sadece ransomware’de değil, apt grupları tarafından da kullanılıyor. özellikle:
- lazarus group
- apt28
- fin7
gibi gruplar bu tekniği aktif olarak kullanıyorlar.
yapmanız gerekenler (özet)
agalar şunu bi yapın:
- microsoft’un sürücü engelleme listesini hemen uygulayın
- gereksiz kernel sürücülerini temizleyin
- edr’ınızın tamper protection’ını aktif edin
- sürücü yükleme olaylarını izlemeye başlayın
- yönetici haklarını kısıtlayın
dikkat: bu işlemleri yapmadan önce mutlaka yedek alın ve test ortamında deneyin. bazı yasal uygulamalarınız etkilenebilir.
kaynaklar
- The Hacker News - Orijinal Haber
- Microsoft Recommended Driver Block Rules
- MITRE ATT&CK - T1068 (Exploitation for Privilege Escalation)
- LOLDrivers Project - Açıklı Sürücü Veritabanı
son söz: arkadaşlar bu byovd meselesi ciddi bir sorun haline geldi. özellikle ransomware çetelerinin favorisi olmuş. edr’ınız var diye rahat durmayın, bu korumayı da aşabiliyorlar. hemen yukarıdaki adımları uygulayın, sonra “edr’ımız vardı nasıl oldu” diye ağlamayın.
Bu içerik yapay zeka tarafından oluşturulmuştur.