Giriş: Güncelleme Beklerken Virüs Aldılar
Kurumsal ağlarda binlerce bilgisayarın güncellemesini yöneten Windows Server Update Services (WSUS), siber saldırganların yeni dağıtım kanalı haline geldi. Araştırmacılar, Çin bağlantılı olduğu düşünülen gelişmiş hacker gruplarının, CVE-2025-59287 kodlu (ve aslında yaması yayınlanmış) bir güvenlik açığını kullanarak, kurumsal ağlara kötü şöhretli ShadowPad zararlısını yaydığını tespit etti.
En korkutucu olan ise şu: Yamayı uygulamış olsanız bile, eğer geç kaldıysanız sistemleriniz yamadan önce ele geçirilmiş ve arka kapı çoktan yerleştirilmiş olabilir.
🔍 Saldırının Anatomisi: Windows’un Kendi Silahlarıyla Vuruyorlar
Saldırganlar, sisteme sızmak ve kalıcı olmak için harici hack araçları yerine, Windows’un kendi içinde bulunan yasal araçları (LOLBins – Living off the Land Binaries) kullanıyor. Bu taktik, antivirüs yazılımlarının saldırıyı tespit etmesini zorlaştırıyor.
1. WSUS Zafiyeti (CVE-2025-59287)
Saldırganlar, WSUS sunucusu üzerindeki bu zafiyeti kullanarak sunucuya yetkisiz erişim sağlıyor. Bu açık, saldırganın sunucu üzerinde komut çalıştırmasına izin veriyor.
2. “Living off the Land” Taktikleri
Sunucuya sızdıktan sonra, ShadowPad zararlısını indirmek ve yüklemek için şu yasal Windows araçlarını kullanıyorlar:
curl: Windows’un içinde gelen bu komut satırı aracıyla zararlı dosya internetten indiriliyor.
certutil: Normalde sertifika yönetimi için kullanılan bu araç, indirilen zararlının şifresini çözmek veya gizlemek (decode) için kullanılıyor.
3. ShadowPad: Modüler Casus
Sisteme yerleşen ShadowPad, Çinli APT gruplarının (APT41, Winnti vb.) favori aracıdır. Modüler yapısı sayesinde saldırganlar sisteme sonradan yeni özellikler (ekran izleme, tuş kaydetme, veri çalma) ekleyebilirler.
🛠️ Teknik Özet
| Kategori | Detaylar |
|---|---|
| Zafiyet Kodu | CVE-2025-59287 |
| Hedef Sistem | Windows Server Update Services (WSUS) |
| Zararlı Yazılım | ShadowPad (Modüler RAT) |
| Kullanılan Araçlar | curl, certutil (LOLBins) |
| Tehdit Grubu | Çin Bağlantılı APT Grupları |
🛡️ Ne Yapmalı? Sadece Yamalamak Yetmez!
Bu saldırıda en önemli nokta şudur: “Sistemi yamalamış olmanız, daha önce hacklenmediğiniz anlamına gelmez.”
- Geriye Dönük Tarama (Threat Hunting): WSUS sunucunuzu yamalamış olsanız bile, geçmiş logları inceleyin. IIS (Internet Information Services) worker process (w3wp.exe) tarafından başlatılan şüpheli curl veya certutil komutları var mı?
- Dosya Kontrolü: Sunucuda ShadowPad ile ilişkili bilinen dosya adlarını veya şüpheli DLL dosyalarını tarayın.
- Ağ Trafiği: WSUS sunucunuzun normal güncelleme trafiği dışında, bilinmeyen IP adreslerine (C2 sunucuları) bağlantı kurup kurmadığını kontrol edin.
- Erişimi Kısıtlayın: WSUS sunucunuzun yönetim arayüzünü internete kapatın.
CUMBUR.NET sitesinden daha fazla şey keşfedin
Subscribe to get the latest posts sent to your email.
