Skip to content

Symantec EDR CVE-2021-40444 avı

Published by Mehmet Can Taş on October 7, 2021

Yakın zamanda çok ses getiren zafiyetlerden biri olan CVE-2021-40444 MSHTML zafiyeti sistemlerimizde sömürülmeye çalışılmış mı bir bakalım?

şaban Kemal Sunal GIF - şaban Kemal Sunal Yan Bakma GIFs

Zafiyet ile ilgili Symantec in sağladığı koruma teknolojilerine buradan ulaşabilirsiniz.

Canınıalmaya Gelmedim Memati GIF - Canınıalmaya Gelmedim Memati Polat Alemdar GIFs

via GIPHY

Event Breakdown Sorguları

Control.exe rundll32 ‘yi çağırır —-> .inf veya .cpl 

(event_actor.file.name:control.exe AND process.file.name:rundll32.exe ) AND ( process.cmd_line:/.*\.inf.*/ OR process.cmd_line:/.*cpl.*/ OR event_actor.cmd_line:/.*\.inf.*/)

Anamıkesen Ben Babamıdoğrayan Ben GIF - Anamıkesen Ben Babamıdoğrayan Ben Ahkam Kesmek GIFs

Winword.exe — > control.exe yi çağırır

type_id:8001 AND process.file.name:control.exe AND event_actor.cmd_line:/.*\.docx.*/

Rundll32 cmd komutları içerisinde ‘cpl:’ veya ‘inf’ 

process.file.name:rundll32.exe AND ( process.cmd_line:/.*cpl.*/ OR process.cmd_line:/.*\.inf.*/ )

Parça parça değil tam arama yapmak isterseniz;

(event_actor.file.name:control.exe AND process.file.name:rundll32.exe ) AND ( process.cmd_line:/.*\.inf.*/ OR process.cmd_line:/.*cpl.*/ OR event_actor.cmd_line:/.*\.inf.*/) OR (type_id:8001 AND process.file.name:control.exe AND event_actor.cmd_line:/.*\.docx.*/ ) OR (process.file.name:rundll32.exe AND ( process.cmd_line:/.*cpl.*/ OR process.cmd_line:/.*\.inf.*/ )) 

Peki zafiyet yayınlandı, SEP/EDR imzaları istemcilere geldi, hiç bu imzalara denk gelen denemeler olmuş mu?

Kemal Sunal GIF - Kemal Sunal Kemalsunal GIFs

Network-based / IPS alarmları

quick:"Vantage Detection" and (signature_id:32428 or signature_id:33278)

File-based tespitler

Kardespayi Chilling GIF - Kardespayi Chilling Relax GIFs
quick:"Antivirus Detection" and (threat.name:Exp.CVE-2021-40444 or threat.name:Exp.CVE-2021-40444!g1)
Published inEndpoint Security