Anti-Cheat Seviye 0: Kernel Driver Signing Bypass Teknikleri ve Savunma Stratejileri

Windows işletim sisteminin kalbi olan Kernel (Çekirdek), sistem güvenliğinin en üst mertebesidir. Bir uygulamanın veya sürücünün burada çalışabilmesi, ona donanım üzerinde sınırsız yetki ve tam gizlilik potansiyeli sağlar. Bu nedenle Microsoft, 64-bit Windows sürümleriyle birlikte Driver Signing Enforcement (DSE) mekanizmasını zorunlu kılmıştır. Ancak modern anti-cheat savaşlarında bu koruma duvarı, “Seviye 0” saldırılarının ilk hedefi haline gelmiştir.

Bu makalede, imzasız sürücülerin kernel seviyesine nasıl sızdırıldığını, BYOVD’den Manual Mapping’e kadar kullanılan Kernel Driver Signing Bypass tekniklerini ve siber güvenlik dünyasının bu tehditlere karşı geliştirdiği savunma stratejilerini eğitim perspektifinden inceliyoruz.

Driver Signing Enforcement (DSE) Nedir?

Driver Signing Enforcement (DSE), Windows’un çekirdeğe yalnızca güvenilir ve dijital olarak imzalanmış sürücülerin yüklenmesini sağlayan bir güvenlik politikasıdır. İşletim sistemi bir sürücüyü yüklemeye çalıştığında, çekirdek içindeki CI.dll (Code Integrity) kütüphanesi devreye girer. Bu kütüphane, sürücünün sertifikasını ve Microsoft tarafından onaylanıp onaylanmadığını kontrol eder.

Eğer sürücü geçerli bir imzaya sahip değilse, Windows sürücüyü yüklemeyi reddeder. Anti-cheat yazılımları (Vanguard, BattlEye vb.), hilelerin donanım seviyesine inmesini engellemek için doğrudan bu sisteme güvenirler. Çünkü hile kodları kernel seviyesine bir kez sızarsa, kullanıcı modundaki hiçbir güvenlik yazılımı onları tam anlamıyla tespit edemez.

BYOVD (Bring Your Own Vulnerable Driver) Tekniği

Saldırganlar için imzasız bir sürücüyü doğrudan yüklemek imkansıza yakın olduğundan, en popüler ve etkili yöntem olan BYOVD devreye girer. Bu yöntem; “dosyayı imzalamak yerine, zaten imzalı ama zayıf noktası olan bir dosyayı kullan” mantığına dayanır.

Nasıl Çalışır?

1. Vulnerable Driver Seçimi: Saldırgan, geçmişte yayınlanmış ancak içinde ciddi güvenlik açıkları (örneğin rastgele bellek yazma/okuma yetkisi) bulunan yasal bir sürücüyü (eski NVIDIA, Capcom, Gigabyte veya anakart araçları sürücüleri) sisteme yükler.
2. Bellek Manipülasyonu: Bu sürücü yasal olarak imzalı olduğu için Windows onu kabul eder. Saldırgan, sürücüdeki açığı kullanarak kernel belleğine erişir.
3. DSE Devre Dışı Bırakma: Bellekte kernel bütünlüğünü kontrol eden g_CiOptions gibi kritik değişkenlerin değeri bulunur. Bu değişken genellikle 0x6 (zorunlu mod) değerindedir. Saldırgan bu değeri geçici olarak 0x0 yaparak DSE’yi kapatır.
4. Kendi Sürücüsünü Yükleme: DSE artık aktif olmadığı için saldırgan kendi imzasız hile sürücüsünü yükler ve ardından g_CiOptions değerini tekrar eski haline getirerek sistemi “normale” döndürür.

Manual Mapping: İz Bırakmadan Sızma

Standart Windows API’leri (örneğin LoadDriver) kullanıldığında, işletim sistemi sürücüyü bir dosya olarak kaydeder ve veri tabanına ekler. Bu durum, anti-cheat sistemleri için kolay bir takip listesi oluşturur. Manual Mapping ise bu izleri silmek için kullanılan çok daha sofistike bir yöntemdir.

Bu teknikte, sürücü dosyası diskten okunur ve bir exploit aracılığıyla doğrudan kernel belleğine (RAM) manuel olarak yazılır.

• Süreç: Bellek tahsis edilir, sürücünün bağımlılıkları çözülür ve giriş noktaları (Entry Points) manuel olarak tetiklenir.
• Tespit Mekanizması: Windows’un resmi yükleme yolları kullanılmadığı için sistem bu sürücüyü “yüklü bir modül” olarak görmez.
• Savunma: Modern anti-cheat sistemleri, kernel belleğinde bir dosya ile ilişkilendirilmemiş (unbacked memory) yürütülebilir alanları tarayarak bu yöntemle sızmış gizli kodları tespit etmeye odaklanır.

Boot Seviyesi Müdahaleleri: Bootkit ve UEFI

Eğer kale kapısı (Windows) kilitliyse, saldırganlar temelden (Boot seviyesi) sızmayı denerler. Bootkit’ler, işletim sistemi çekirdeği henüz yüklenmeden önce devreye giren zararlı yazılımlardır.

UEFI manipülasyonu ile saldırganlar, Windows Boot Loader’ı yamalayarak DSE kontrol bayraklarının belleğe hiçbir zaman “aktif” olarak yüklenmemesini sağlayabilirler. Bu, sistemin DSE koruması olmadan başlamasına neden olur. Günümüzde bu tehditlere karşı Secure Boot (Güvenli Önyükleme) ve TPM teknolojileri kullanılır. Secure Boot, önyükleme sırasında her adımın dijital olarak imzalanmış olmasını şart koşarak bootkit sızmalarını büyük ölçüde engeller.

Test Modu ve Geliştirici Ayarlarıyla Bypass

Windows, donanım geliştiricilerinin sürücülerini kolayca test edebilmesi için bir “Test Mode” barındırır. bcdedit.exe /set testsigning on komutuyla aktif edilen bu modda imza zorunluluğu kalkar.

Ancak bu yöntem profesyonel hile dünyasında neredeyse hiç kullanılmaz. Neden mi? Çünkü BattlEye ve Easy Anti-Cheat (EAC) gibi sistemler, bilgisayarın Test Modu’nda olup olmadığını saniyeler içinde anlar. Eğer bu mod aktifse, oyunun başlamasına asla izin verilmez. Bu, aşılması en kolay ve savunması en basit yöntemdir.

Modern Savunma Hattı: HVCI, VBS ve Sürücü Blok Listeleri

Saldırganlar yöntemlerini geliştirirken, Microsoft da donanım tabanlı savunma katmanlarını devreye almıştır:

1. HVCI (Hypervisor-Protected Code Integrity): Windows’un “Bellek Bütünlüğü” olarak bilinen bu özelliği, kod bütünlüğü kontrollerini ana çekirdekten ayırarak izole bir hypervisor (sanallaştırma katmanı) içinde gerçekleştirir. Bu sayede kernel belleğindeki g_CiOptions gibi değişkenlerin manipüle edilmesi imkansız hale gelir.
2. VBS (Virtualization-Based Security): Kritik sistem süreçlerini donanım sanallaştırmasıyla korunan güvenli bir alanda çalıştırır.
3. Microsoft Vulnerable Driver Blocklist: Microsoft, BYOVD yönteminde kullanılan bilinen tüm “açıklı ve imzalı” sürücüleri kapsayan devasa bir blok listesi tutar. Windows bu listedeki bir sürücünün yüklenmesini otomatik olarak engeller.

Sonuç

Kernel Driver Signing Bypass teknikleri, siber güvenlikte sürekli devam eden bir kedi-fare oyunudur. Saldırganlar her zaman yeni zafiyetli sürücüler bulmaya çalışırken, savunmacılar sanallaştırma ve donanım tabanlı korumalarla bu boşlukları kapatmaktadır.

Eğitim perspektifinden bakıldığında, DSE’yi devre dışı bırakmak sistemi sadece anti-cheat sistemlerine değil; ransomware, rootkit ve veri hırsızı zararlılara karşı da tamamen savunmasız bırakır. Güvenli ve adil bir dijital deneyim için HVCI (Bellek Bütünlüğü) özelliğini aktif tutmak, BIOS üzerinden Secure Boot ayarını kontrol etmek ve sisteminize sadece güvenilir kaynaklardan gelen güncel sürücüleri yüklemek hayati önem taşır.