MysterySnail, sıfır gün güvenlik açığından geçiyor

Güvenlik teknolojilerimiz, Win32k sürücüsünde önceden bilinmeyen bir güvenlik açığından yararlanıldığını tespit etti.

Davranışsal Tespit Motoru ve Açıklardan Yararlanma Önleme (Behavioral Detection Engine and Exploit Prevention) teknolojilerimiz, yakın zamanda Win32k çekirdek sürücüsündeki bir güvenlik açığından yararlanıldığını tespit ederek, arkada gerçekleştirilen tüm siber suç operasyonunun araştırılmasını sağladı. Güvenlik açığını (CVE-2021-40449) Microsoft’a bildirdik ve şirket, 12 Ekim’de yayınlanan düzenli bir güncellemede bunu düzeltti. Bu nedenle, her zaman olduğu gibi Salı Yaması’nın ardından mümkün olan en kısa sürede Microsoft Windows’un güncellenmesini öneriyoruz.

CVE-2021-40449 ne için kullanıldı?

CVE-2021-40449, Win32k sürücüsünün NtGdiResetDC işlevindeki bir use-after-free güvenlik açığı (serbest bıraktıktan sonra kullanım – UAF). Ayrıntılı teknik açıklamaya Securelist gönderimizden ulaşabilirsiniz ancak kısaca bahsetmemiz gerekirse, güvenlik açığı, bilgisayarın belleğindeki çekirdek modülü adreslerinin sızmasına neden olabiliyor. Siber suçlular daha sonra başka bir kötü amaçlı işlemin ayrıcalıklarını yükseltmek için bu sızıntıyı kullanıyorlar.

Ayrıcalık yükseltme yoluyla saldırganlar, kurbanın sistemine erişmelerini sağlayan bir Uzaktan Erişim Truva Atı (RAT) olan MysterySnail’i indirip çalıştırabiliyor.

MysterySnail ne yapıyor?

Truva atı, virüslü sistem hakkında bilgi toplamaya başlıyor ve bu bilgileri C&C (komuta kontrol) sunucusuna gönderiyor. Ardından saldırganlar MysterySnail aracılığıyla, örneğin belirli bir dosya oluşturmak, okumak veya silmek, bir süreç oluşturmak veya silmek, bir dizin listesi oluşturmak veya bir proxy kanalı açarak, bunun üzerinden veri göndermek gibi çeşitli komutlar verebiliyorlar.

MysterySnail’in diğer özellikleri arasında, bağlı sürücülerin listesini görüntüleme, arka planda harici sürücülerin bağlantısını izleme ve daha fazlası yer alıyor. Truva Atı ayrıca (cmd.exe dosyasını farklı bir adla geçici bir klasöre kopyalayarak) cmd.exe etkileşimli kabuğunu da başlatabiliyor.

CVE-2021-40449 üzerinden gerçekleştirilen saldırılar

Bu güvenlik açığı, Microsoft Windows ailesindeki bir dizi işletim sisteminde kullanılıyor: Vista, 7, 8, 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, Windows 10 (derleme 14393), Server 2016 (derleme 14393), 10 (derleme 17763) ve Server 2019 (derleme 17763). Uzmanlarımıza göre, güvenlik açığı, özellikle işletim sisteminin sunucu sürümlerinde ayrıcalıkları yükseltmek için bulunuyor.

Tehdidin tespit edilmesinin ardından uzmanlarımız, açığın ve sisteme yüklediği MysterySnail kötü amaçlı yazılımın, BT şirketlerine, diplomatik kuruluşlara ve savunma sanayii için çalışan şirketlere yönelik casusluk operasyonlarında yaygın bir şekilde kullanıldığını belirlediler.

Kaspersky Threat Attribution Engine sayesinde uzmanlarımız, MysterySnail’in kodu ve işlevleri ile IronHusky grubu tarafından kullanılan kötü amaçlı yazılımlar arasında benzerlikler buldu. Ayrıca, Çince konuşan bir APT grubu 2012’de, MysterySnail’in C&C sunucu adreslerinden bazılarını kullanıyordu.

Saldırının ayrıntılı açıklaması ve risk göstergeleri de dahil olmak üzere saldırı hakkında daha fazla bilgi için Securelist gönderimize göz atabilirsiniz.

Kendinizi korumanın yolları

İşe Microsoft’un en son yayınladığı yamaları yükleyerek başlayın ve internet erişimi olan tüm bilgisayarlara, güvenlik açıklarından yararlanmayı proaktif olarak tespit eden ve durduran güçlü güvenlik çözümleri yükleyerek gelecekteki sıfır gün güvenlik açıklarından etkilenmekten kurtulun. CVE-2021-40449, Kaspersky Endpoint Security for Business‘da da bulunan, Davranış Tespiti Motoru ve Açıklardan Yararlanma Önleme teknolojileri tarafından tespit edildi.

İpuçları