28 Ekim 2016 Cuma

Atom Bombing


Windows işletim sistemlerini etkileyen kod enjeksiyonu açığı yakında sizin de korkulu rüyanız olabilir. Dün, ilk kez güvenlik firması enSilo tarafından ortaya atılan “Atom Bombing” istismarı, Windows Atom Tables ve Async Procedure Calls (APC) üzerinden gerçekleştiriliyor. 

İşin kötü tarafı, açık, işletim sisteminin çalışma mekanizmasından kaynaklandığı için, zafiyetin herhangi bir güncelleme ile kapatılamayacağı öngörülüyor. 

Saldırganlar Atom Bombing saldırılarını kullanarak zararlı kodlarını başka process'ler içinde çalıştırabiliyorlar. Bunu yeni ve tespiti güç bir DLL injection olarak değerlendirebiliriz. (İstismar, Windows 10 üzerinde test edilmiştir.)

Üstelik şu anda herhangi bir Windows makineyi bu saldırıdan koruyabilen hiç bir güvenlik çözümü yok. Microsoft ise hala duruma dair bir açıklama yapmış değil.

Peki saldırı nasıl gerçekleşiyor?

Ekstrem Örnek:

Görev yönetisini açtığınızda “Svchost” çalıştığını görüyorsunuz ve yarım saat sonra masaüstünüzde bir text dosyası açılıyor ve birisi dosyaya:

“Windows Defender kurtarmaz hacıosman...ehehuehhhekekekek” yazıyor.

Siz Svchost' dan şüphe etmiyorsunuz, çünkü o yıllardır kullandığınız ve zararsız olduğunu bildiğiniz bir .exe dosyası.

Arka tarafta:

Saldırgan bir Atom Table içine oluşturduğu zararlı kodu yerleştiriyor. Sonrasında ise kod, zararsız bir program tarafından yazılan ROP chain tarafından çağırılıyor. Bu durumda güvenli yazılım (örnekteki “Svchost” ) artık saldırganın zararlı yazılımını da içinde barındırıyor. Siz .exe dosyasını çalıştırdığınız anda saldırganın zararlı yazılımı da çalıştırmış oluyorsunuz ve puf! 14 yaşında bir velet tarafından hacklendiniz. 

Gerçekte, Atom Bombing saldırısı gerçekleştiren biri, bir kod enjeksiyonu açığı istismar ediyor olacağından, hemen hemen istediği her şeyi yapabilir. Atom Bombing saldırısı kullanarak yapılabilecek şeylerden aklıma gelenlerin bazıları:
  1. Kredi kartı bilgilerinizin çalınması 
  2. E-postalarınızın okunması 
  3. Bilgisayarınızın şifrelenmesi (ransomware) 
  4. Sosyal medya hesaplarınızın ele geçirilmesi 

Sonuç:

enSilo, Atom Bombing saldırısının tam olarak nasıl gerçekleştiğini açıklamamış olmasına rağmen açıkladıkları kadarı bize saldırının nasıl işlediğini anlamamıza yetecek kadarını sağlıyor. Önümüzdeki hafta boyunca saldırıyı incelemeye devam edeceğim, ama benden söylemesi; Atom Bombing çok baş ağrıtacak.
on 28 Ekim by Berk Cem Göksel |   Edit