Microsoft Edge Uzantıları Tarafından Kötü Amaçlı Native Messaging Kötüye Kullanımı ve Ransomware Saldırıları

Edgecution adlı kötü amaçlı Edge uzantısı, tarayıcı sandbox'ını aşmak ve Python tabanlı bir arka kapı dağıtmak için Native Messaging özelliğini nasıl kötüye kullandı? Ayrıntılı analiz ve çözüm adımları.

B

Bleeping Computer Tutorials

24 Haziran 20261 görüntülenme

Microsoft Edge Uzantıları Tarafından Kötü Amaçlı Native Messaging Kötüye Kullanımı ve Ransomware Saldırıları

Giriş

Edgecution adlı kötü amaçlı bir Microsoft Edge uzantısı, Native Messaging özelliğini kötüye kullanarak tarayıcı sandbox'ından kaçmayı ve kurbanların sistemlerine Python tabanlı bir arka kapı yerleştirmeyi başarmıştır. Bu saldırı, ransomware operasyonlarının bir parçası olarak gerçekleştirilmiş ve kullanıcı verilerini şifreleyerek fidye taleplerine yol açmıştır. Bu makalede, saldırının teknik detayları, Native Messaging mekanizmasının kötüye kullanımı ve bu tür tehditlere karşı alınabilecek önlemler ele alınacaktır.

Saldırı Vektörünün Teknik Analizi

1. Uzantının Dağıtımı ve Kurulumu

Edgecution uzantısı, genellikle sosyal mühendislik veya kötü amaçlı reklamcılık (malvertising) yoluyla kullanıcılara ulaştırılmıştır. Kurbanlar, uzantıyı Edge tarayıcısına yüklediğinde, uzantı uzantı manifest dosyası (manifest.json) aracılığıyla Native Messaging'e erişim talebinde bulunmuştur. Bu talep, kullanıcının onayıyla gerçekleşmiş ve uzantıya sistem düzeyinde yetkiler verilmiştir.

2. Native Messaging Mekanizmasının Kötüye Kullanımı

Native Messaging, Edge tarayıcısının yerel uygulamalarla iletişim kurmasını sağlayan bir özelliktir. Uzantı, bu mekanizmayı kullanarak yerel bir Python betiğiyle haberleşmiş ve sistem komutlarını çalıştırmak için yetkilerini genişletmiştir. Saldırının adımları şu şekildedir:

Uzantı Kurulumu: Kullanıcı, Edge Mağazası'ndan veya üçüncü taraf kaynaklardan zararlı uzantıyı yükler.
Native Messaging İzinleri: Uzantı, manifest dosyasında belirtilen yerel uygulamayla iletişim kurmak için izin ister. Kullanıcı onay verdiğinde, uzantı yerel uygulamaya erişim kazanır.
Komut Enjeksiyonu: Uzantı, yerel uygulamaya (örneğin, Python betiği) sistem komutları gönderir. Bu komutlar, arbitrary code execution yeteneğine sahiptir.
Arka Kapı Kurulumu: Python betiği, sistemde kalıcı bir arka kapı oluşturur ve saldırganın komutlarını dinlemeye başlar.
Ransomware Dağıtımı: Saldırgan, arka kapı aracılığıyla dosya şifreleme komutlarını gönderir ve fidye taleplerini başlatır.

3. Kullanılan Araçlar ve Teknikler

Saldırganlar, aşağıdaki araç ve teknikleri kullanmışlardır:

Python Tabanlı Arka Kapı: pyminifier gibi araçlarla gizlenen ve os.system() veya subprocess modülleriyle sistem komutlarını çalıştıran bir betik.
Native Messaging Manifest Dosyası: Uzantının yerel uygulamayla iletişimini tanımlayan com.attacker.edgemessaging gibi özel bir manifest dosyası.
Sandbox Kaçışı: Edge tarayıcısının sandbox'ından çıkarak sistem düzeyinde işlem yapabilme yeteneği.

Etkileri ve Riskler

Bu saldırının sonuçları oldukça ciddidir:

Veri Kaybı: Kullanıcı dosyalarının şifrelenmesi ve fidye ödenmemesi durumunda kalıcı kaybı.
Sistem Enfeksiyonu: Arka kapının sistemde kalıcı olarak yerleşmesi ve gelecekteki saldırılara zemin hazırlaması.
Gizlilik İhlali: Kullanıcı verilerinin saldırganlar tarafından ele geçirilmesi ve kötüye kullanılması.
İş Kesintisi: Kurumsal ortamlarda saldırının yol açtığı hizmet dışı kalma durumları.

Tespit ve Müdahale Adımları

1. Saldırı Tespiti

Aşağıdaki belirtiler, Edgecution saldırısının tespit edilmesine yardımcı olabilir:

Edge tarayıcısında bilinmeyen uzantıların varlığı.
Sistemde çalışan şüpheli Python süreçlerinin varlığı (örneğin, python.exe veya python3.exe).
Sistem kayıt defterinde (Windows) veya /etc/hosts dosyasında (Linux) yapılan şüpheli değişiklikler.
Edge tarayıcısının Native Messaging özelliklerini kullanmaya çalışan uzantılar.

2. Kaldırma ve Temizleme

Uzantının Kaldırılması:
1. Edge tarayıcısını açın ve Uzantılar bölümüne gidin.
2. Şüpheli uzantıyı bulun ve Kaldır butonuna tıklayın.
3. Uzantının yerel dosyalarını silmek için %LOCALAPPDATA%\Microsoft\Edge\User Data\Default\Extensions dizinine gidin ve ilgili klasörü silin.
Native Messaging Manifest Dosyasının Temizlenmesi:
1. Windows sistemlerinde, regedit aracını açın ve aşağıdaki kayıt defteri yoluna gidin:
```
HKEY_CURRENT_USER\Software\Microsoft\Edge\NativeMessagingHosts
```
2. Şüpheli bir kayıt anahtarı varsa, onu silin.
3. Linux sistemlerinde, /etc/chromium/native-messaging-hosts/ veya ~/.config/microsoft-edge-native-messaging-hosts/ dizinindeki şüpheli dosyaları silin.
Python Arka Kapısının Temizlenmesi:
1. Sistemde çalışan şüpheli Python süreçlerini tespit etmek için Task Manager (Windows) veya ps aux | grep python (Linux) komutunu kullanın.
2. Saldırganın yerleştirdiği Python betiğini bulun ve silin. Betiğin konumu genellikle %APPDATA% veya /tmp dizinlerinde olabilir.
3. Python betiğinin çalışmasını sağlamak için kullanılan hizmetleri (Windows) veya cron job'ları (Linux) kontrol edin ve temizleyin.
```
# Windows hizmetlerini kontrol etme (Yönetici olarak çalıştırın)
sc query | findstr /i python

# Linux cron job'larını kontrol etme
crontab -l
ls -la /etc/cron*
```
Sistem Tarama ve Onarım:
1. Güvenilir bir antivirüs yazılımı kullanarak sistem taraması yapın (örneğin, Windows Defender, Malwarebytes, Kaspersky).
2. Sistem geri yükleme noktalarını kullanarak gerekirse sistemi eski bir duruma getirin.
3. Şifrelenmiş dosyaları kurtarmak için fidye yazılımlarına karşı özel araçlar kullanın (örneğin, NoMoreRansom projesinin araçları).

Önleyici Tedbirler

1. Kullanıcı Düzeyinde Önlemler

Uyarı: Edge Mağazası dışından uzantı yüklemekten kaçının. Uzantıları yüklemeden önce güvenilir kaynaklardan indirdiğinizden emin olun ve kullanıcı yorumlarını okuyun.

Edge tarayıcısının Native Messaging özelliklerine erişim taleplerini dikkatlice inceleyin. Bilinmeyen uygulamalara izin vermeyin.
Sistemde çalışan şüpheli süreçleri düzenli olarak kontrol edin. Özellikle python.exe gibi betik dilleri kullanıcının normal aktiviteleriyle ilişkili değilse dikkatli olun.
Edge tarayıcısının uzantı izinlerini düzenli olarak gözden geçirin ve gereksiz izinlere sahip uzantıları kaldırın.

2. Kurumsal Düzeyde Önlemler

Uç Nokta Koruması: Kurumsal ağlarda EDR (Endpoint Detection and Response) çözümleri kullanarak şüpheli aktiviteleri tespit edin ve engelleyin.
Sandbox ve Sanal Ortamlar: Şüpheli uzantıları ve uygulamaları izole edilmiş ortamlarda test edin.
Güncel Yazılımlar: Edge tarayıcısı ve işletim sistemini düzenli olarak güncelleyin ve güvenlik yamalarını uygulayın.
Kullanıcı Eğitimi: Çalışanları sosyal mühendislik saldırıları ve güvenli uzantı kullanımı konusunda eğitin.

3. Geliştirici ve Dağıtıcı Düzeyinde Önlemler

Uzantı Doğrulama: Edge Mağazası'nda yayınlanan uzantıların güvenlik denetimlerinden geçirilmesini zorunlu kılın.

Native Messaging Politikaları: Native Messaging kullanımına yönelik sıkı politikalar uygulayın ve bilinmeyen uygulamalara izin vermeyin.

# Windows'ta Native Messaging Host'ları için grup ilkesi (GPO) uygulama örneği
reg add "HKLM\SOFTWARE\Policies\Microsoft\Edge" /v NativeMessagingHostsEnforcement /t REG_DWORD /d 1 /f

Açık Kaynak Kontrolleri: Açık kaynaklı uzantıların ve betiklerin güvenlik incelemesinden geçirilmesini sağlayın.

İlgili Komutlar ve Araçlar

Windows Sistemleri İçin

# Edge uzantılarını listeleme (PowerShell)
Get-AppxPackage | Where-Object { $_.Name -like "*Edge*" }

# Native Messaging Host'larını listeleme (Registry)
reg query "HKCU\Software\Microsoft\Edge\NativeMessagingHosts" /s

# Şüpheli Python süreçlerini bulma (Command Prompt)
tasklist | findstr /i python

# Sistem geri yükleme noktası oluşturma (PowerShell)
Checkpoint-Computer -Description "Pre-Ransomware Cleanup" -RestorePointType "MODIFY_SETTINGS"

Linux Sistemleri İçin

# Edge uzantılarını listeleme
ls -la ~/.config/microsoft-edge/Default/Extensions/

# Native Messaging Host'larını listeleme
ls -la /etc/chromium/native-messaging-hosts/ /home/$USER/.config/microsoft-edge-native-messaging-hosts/

# Şüpheli Python süreçlerini bulma
ps aux | grep python

# Sistem geri yükleme (örnek: Timeshift)
sudo timeshift --create --comments "Pre-Ransomware Cleanup"

Sonuç

Edgecution saldırısı, Native Messaging özelliğinin kötüye kullanımı yoluyla tarayıcı sandbox'ından kaçmayı ve sistemlere kalıcı zarar vermeyi başaran sofistike bir tehdittir. Bu tür saldırılardan korunmak için çok katmanlı güvenlik stratejileri benimsemek ve hem kullanıcı hem de kurumsal düzeyde proaktif önlemler almak gerekmektedir. Uzantıların güvenilir kaynaklardan yüklenmesi, Native Messaging izinlerinin dikkatlice incelenmesi ve sistemlerin düzenli olarak taranması, bu tehditlere karşı en etkili koruma yöntemleridir.

Kaynaklar

Kaynak

Bleeping Computer Tutorials

Wiki'ye Dön

İlgili Makaleler

24 Haziran 2026

Cisco Catalyst SD-WAN CVE-2026-20245 Sıfır Gün Açığının Root Erişimine Yol Açma Mekanizması

Mandiant tarafından açıklanan Cisco Catalyst SD-WAN CVE-2026-20245 sıfır gün açığı, saldırganların cihazlarda yetkisiz root hesapları oluşturmasına nasıl yol açtığını ayrıntılı olarak açıklıyor.

3Makaleyi Oku →

24 Haziran 2026

KongTuke ile İlişkilendirilen Gizli Mistic Arka Kapısı ve Ransomware Erişim Sağlayıcıları

Sigorta, eğitim, BT ve profesyonel hizmet sektörlerine yönelik saldırılarda tespit edilen gizli Mistic arka kapısı hakkında teknik analiz. KongTuke grubu ile bağlantısı.

6Makaleyi Oku →

24 Haziran 2026

Hizmet Masasının Güvenliği: Sosyal Mühendislik Saldırıları Neden Başarıya Ulaşıyor?

Hizmet masaları, parola sıfırlama ve MFA değişiklikleri için saldırganların hedefi haline geldi. Bu makalede, sosyal mühendislik saldırılarının işleyişi ve savunma stratejileri detaylandırılıyor.

6Makaleyi Oku →