Attack Surface Reduction Rules — Saldırı Yüzeyi Azaltma Kuralları

Kötü Amaçlı Yazılımları Engellemek İçin Microsoft Defender (ASR) — Attack Surface Reduction Nedir?

Atak Yüzeyi Nedir?

Atak yüzeyi dijital sistemlerde, sistemin dışarıdan yada içeriden sanal olarak dokunabildiğiniz kısmını ifade eder. Burada dokunmakla kastım tabiki bir şekilde onun zafiyetini kullanmak, hacklemek için keşfedilebilir olmasıdır. Bir sistem bulunduğu, yaşadığı ortamda ne kadar büyük olursa olsun (çok zor ve maliyetli) mümkün olduğunca az yer kaplamalıdır. Sistem ne kadar az yer kaplar ise dışardan veya içeriden gelebilecek saldırı noktaları yani dijital ayak izi azalır. Genel istisnalar haricinde sistem bu şekilde işlemektedir.

Attack Surface Reduction (ASR) Kuralları Nedir?

Attack Surface Reduction kuralları, Microsoft tarafından Windows platformlarda bazı gelişmiş tehditlerin bertaraf edilmesi için geliştirilmiş olan yerleşik (built-in) kurallar dizisidir. Bu kurallar belli tehditlerin sisteme erişebilme ihtimalini azaltmak için Microsoft Defender servisi tarafından eylemin doğrudan engellenmesi mantığına dayanır. Bu özellik aslında bazı üçüncü parti kurumsal antivirüs yazılımlarında bulunan “Advanced Anti-Exploit” modülündeki çalışma mantığına benzer.

Neden ASR Kurallarını Kullanmalıyız?

ASR kuralları arka planda gerçekleşen faaliyetlerin iyi-kötü yada şüpheli bir faaliyet olup olmadığına bakmak yerine ilgili faaliyetin kötüye kullanılmaması adına kritik işlemlere izin vermemeyi tercih eder. Örnek olarak LSASS’dan döküm almanız iyi bir niyetten kaynaklı olabilir ama yinede kural açıkken işleme izin vermeyecektir. Yıllardan beri birçok tehdidin ortak paternlere sahip olması sebebiyle en çok kullanılan metotları etkisizleştirmek adına bu kurallar ortaya çıkarıldı. Adı üstünde bir “kural” olduğu için de kullanılan senaryoya bağlı olarak ister istemez bazı dosya ve klasörlerin hariç tutulması gerekebildiğinden, 14 kural için dosya ve klasör dışlamalarını desteklemektedir. ASR kuralları özetle, güvenlik sıkılaştırması mümkün olan spesifik alanlar için ekstra koruma katmanı sağlar.

Attack Surface Reduction — Atak yüzeyi azaltma kuralları ve GUID tablosu

ASR Kurallarının Sıkılaştırma Sağladığı Alanlarla İlgili Genel Başlıkları

E-mail ve Webmail

Block executable content from email client and webmail

Microsoft Office

Block Office applications from creating executable content

Block Office applications from injecting code into other processes

Block Win32 API calls from Office macros

Block all Office applications from creating child processes

Block Office communication applications from creating child processes

Çalıştırılabilir formatlar ve Betikler (EXE, MSI, vb…)

Block JavaScript or VBScript from launching downloaded executable content

Block execution of potentially obfuscated scripts

Block executable files from running unless they meet a prevalence, age, or trusted list criterion

Use advanced protection against ransomware

Üçüncü Parti Uygulamalar (Adobe Reader)

Block Adobe Reader from creating child processes

Windows Kimlik Bilgileri (lsass.exe)

Block credential stealing from the Windows local security authority subsystem (lsass.exe)

Windows Management Interface (WMI)

Block persistence through WMI event subscription

Aygıt Kontrolü (USB)

Block untrusted and unsigned processes that run from USB

Bazı başarılı saldırı vektörlerini görmektesiniz. kimlik hırsızlık araçlarının temeldeki amacı Lsass’dan kimlik bilgilerinizi kazımaktır. Bir saldırıyı başlamadan bitirmeye ne dersiniz?

Örnek olarak Bitdefender Gravityzone üzerinde bulunan anti-exploit modülü benzer mantıktadır ama ASR’den daha gelişmiş seviyede işlemleri engelleyebilmektedir, neticede bir antivirüs yazılımın yerini tutmaz bu kurallar ancak ciddi bir ek koruma katmanı da sağlar. Diğer kurallar için benzer özellikler bir çok antivirus markasında zaten var ama çalışma mantığı farklılık gösterebilir.

Adobe Reader için Exploit tespit yöntemleri — Bitdefender Gravityzone

ASR Kurallarını Aktifleştirmek İçin Sistem Gereksinimleri Nelerdir?

• Windows 10, versiyon 1709 ve üzeri, Windows Server versiyon 1803 (Semi-Annual Channel ve üzeri) ve Windows Server 2019
• Windows 10 Pro/Enterprise/Education sürümlerinden en az birisi
• Microsoft Defender Antivirüs aktif olmalıdır. Pasif modda çalışmaz
• Bazı ASR kuralları için bulut temelli koruma özelliği açık olmalıdır

Attack Surface Reduction kuralları GUID yani global benzersiz tanımlayıcı (Globally Unique IDentifier) anlamına gelen ifadeler ile Windows tarafından çağırılmaktadır. GUID, Windows’ta her nesneyi birbirinden ayırt etmek için kullanılan etiket sistemi, bir nevi TC kimlik numarasıdır. Kurallar GUID ile eşleştirildiğinden, kuralı çağırmak için GUID’leri kullanacağız. Örnek; 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

Örnek; Powershell ile aktif kurallar listelenebiliyor.

Buraya kadar Attack Surface Reduction (ASR) kurallarını genel olarak açıkladım. Şimdi “Windows yerel güvenlik yetkilisi alt sisteminden kimlik bilgilerinin çalınmasını engelleme — Block credential stealing from the Windows local security authority subsystem (lsass.exe)” kuralının nasıl aktifleştirildiğini gireceğim, diğer kurallarda aynı yöntemle aktif hale getirilebiliyor. Makalenin asıl konusu olan ve diğer üçüncü parti antivirüslerde (bu yazıyı yazdığım tarihe kadar) bulunmayan bir özellik olan lsass.exe için kimlik bilgilerinin çalınmasını engelleyen kuralı uygulamalı bir şekilde aktifleştirelim.

Local Security Authority Subsystem Service (LSASS) Nedir?

LSASS bir Windows işletim sisteminde oturum açan kullanıcının kimliğini doğrular ve olay günlüklerine (event logs) bununla ilgili kayıtlar gönderir. LSASS Windows ailesinde kimlik güvenliğinin de merkezinde yer alır. Domain Controller üzerinde çalışan lsass servisi yoğun kullanıcı sorgularında sistem kaynaklarını bazen fazlaca kullanabilir, bu sebeplerden kafalar karışmasın lsass.exe bir virüs değildir sene 2021 olmuş Google’da hala böyle aratılıyor ve Windows için oldukça önemli bir işlem dosyasıdır. Bu öneminden dolayı hackerler Mimikatz gibi araçlarla lsass.exe’nin döküm (dump) dosyasını çıkartarak açık metin şifreleri ve NTLM hash’lerini çalabilir. Böyle bir işlemin sonucunda domain admin gibi yüksek yetkilere sahip kullanıcıların kimlik bilgilerine ulaşılır ise sistemlere rahatlıkla tam yetki ile erişim sağlanabilir. LSASS servisinden döküm dosyasını alabilmek için administrator yetkisine sahip bir kullanıcı kimliği gereklidir ve standart ev kullanıcılarında bu yetki vardır. Şirket ortamlarında standart kullanıcılarda admin yetkisi yoktur. Normalde Microsoft Defender Credential Guard, LSASS’dan kimlik bilgilerinin çıkarılmasını engeller ama biz sistem yöneticileri şu veya bu sebeplerden dolayı Credential Guard’ı her zaman kullanamayabiliriz. O halde bizim uç noktada veya sunucularda bir şekilde erişmiş ve admin seviyesine gelmiş kötü niyetli şahıs yada uygulamaları engellemek için böyle bir kurala ihtiyacımız olabilir.

Not: Ortamınızda test etmeyi unutmayın… Kuralları bazı üçüncü parti antivirüs yazılımları ile çalışmazken bazıları çalışmaktadır.

DUMP Files — Döküm (Dump) Dosyası Nedir? Nasıl Alınır?

Görev yöneticisi veya powershell ile .dmp uzantılı döküm dosyası varsayılanda C:\Users\Username\Appdata\Local\Temp altına çıkartılabilmektedir. Dump dosyalarını genelde hata giderme işlemleri için kullanırız ama lsass için durum farklı demiştik. Görev yöneticisinde Ayrıntılar sekmesinden lsass.exe dosyasına sağ tıklayarak, döküm dosyası oluştur dedim ve sağdaki pencerede gördüğünüz gibi döküm dosyasının içerisi veri ile dolu bir şekilde oluşturuldu. Bu dosya çalınırsa yetkili kimlik (hesap) bilgileriniz de çalınır.

lsass.exe dosyasına sağ tık döküm dosyası oluştur dediğimde sağdaki konuma lsass.dmp dosyası geldi ve 45 mb boyutunda!

Şimdi “Block credential stealing from the Windows local security authority subsystem (lsass.exe)” kuralını etkinleştiriyorum.

Set-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled

Kural aktif olduktan sonra Powershell’i açarak döküm dosyası oluşturma komutunu yazıyorum.

.\procdump.exe -ma lsass.exe c:\temp\lsass.dmp

Komut çalıştı gibi gözükebilir ama sonuç hata verecektir. Görev yöneticisinden döküm dosyasını elle oluşturmayı denediğimde de 0 kb yani içi boş olan geçersiz bir .dmp dosya oluştu. Tam olarak istediğimiz gibi oldu…

lsass(2).DMP dosyası kural aktif olduktan sonra 0 KB, administrator haklarına sahip kullanıcı dahi içerisinde veri olan bir döküm dosyası alamamakta.

ASR Kurallarını Group Policy ile Dağıtmak

Tüm bilgisayar ve sunuculara gidip elle tek tek ASR kurallarını aktifleştirmek bizi yoracağından Group Policy ile istenilen bilgisayarlara dağıtabiliriz.

Computer Configuration > Administrative Templates > Windows Components > Windows Defender Antivirus > Windows Defender Exploit Guard > Attack Surface Reduction

Group Policy — Bu alanda hem hariç tutulacak konum ve dosyaları hem de aktif edilecek kuralları belirleyebiliriz.

Aktifleştirilecek kural için Configure Attack Surface reduction rules menüsünü seçip kural için belirlenmiş GUID değerini giriyorum.

Value 0 = off, 1 = block, 2 = audit

İlgili group policy nesnesini gereksinimlerin karşılandığı OU’ya bağlıyoruz. Kuralı alması gereken bilgisayarlar group policy güncellemesini yeniden başlatma işleminden sonra alacaktır. Ortamda farklı işletim sistemleri ve sürümleri var ise WMI filtre kullanmanız durumunda gereksiz hata logları ile uğraşmak zorunda kalmazsınız. Kolaylıklar dilerim…

Kaynaklar:

https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/demystifying-attack-surface-reduction-rules-part-1/ba-p/1306420

Use attack surface reduction rules to prevent malware infection - Windows security

Microsoft Defender Attack Surface Reduction recommendations