Siber Güvenlik Haberleri, Zafiyetler

ShadowPad Zararlısı WSUS Açığını Kullanarak Kritik Sistem Erişimi Sağlıyor

Kasım 24, 2025Kasım 25, 2025Tarafından Cybernews.TR
2
ShadowPad Zararlısı WSUS Açığını Kullanarak Kritik Sistem Erişimi Sağlıyor

Windows Server Update Services (WSUS) bileşenindeki kritik bir serileştirme açığı (CVE-2025-59287), saldırganların Çin destekli ShadowPad arka kapısını sistemlere yüklemesine olanak tanıyor. ShadowPad, PlugX’in gelişmiş versiyonu olarak kabul edilen ve modüler yapısıyla dikkat çeken bir zararlı yazılım. İlk defa 2015 yılında tespit edilen bu arka kapı, özellikle devlet destekli tehdit aktörleri tarafından kullanılıyor.

Bu saldırı zincirinde, saldırganlar öncelikle WSUS sunucularındaki açık üzerinden uzaktan kod yürütme hakkı elde ediyor. Ardından, PowerShell tabanlı Netcat alternatifi PowerCat aracını kullanarak sistem kabuğu açıyorlar. Sonrasında Windows’un yerleşik araçları olan certutil ve curl ile zararlıyı dış bir sunucudan indirip kurulumunu gerçekleştiriyorlar. ShadowPad, DLL yan yükleme yöntemiyle çalıştırılıyor; meşru bir ikili dosya olan ETDCtrlHelper.exe kullanılarak kötü amaçlı ETDApix.dll yükleniyor ve zararlı hafızada aktif hale geliyor.

ShadowPad’in çekirdek modülü, hafızaya diğer eklentileri yükleyerek anti-tespit ve kalıcılık teknikleri uyguluyor. Bu zararlının, MCP istemcisi ve AsyncRAT gibi araçlarla benzerlik gösteren gelişmiş komuta kontrol (C2) mekanizmaları bulunuyor. Ayrıca, Pydantic AI tabanlı analizlerle hedef sistemlerdeki güvenlik önlemlerini aşmak için dinamik davranışlar sergileyebiliyor. Saldırganların konteyner ortamlarında rastgele SSH portları açarak lateral hareket kabiliyetini artırdığı da gözlemleniyor.

Türkiye İçin Ne Anlama Geliyor?

Türkiye’deki kurumlar ve KOBİ’ler, WSUS gibi yaygın kullanılan Windows güncelleme altyapılarında bulunan bu tür kritik açıklar nedeniyle ciddi risk altında. Özellikle kamu kurumları, finans sektörü ve kritik altyapılar, bu zafiyetin hedefi olabilir. KVKK kapsamında kişisel verilerin korunması zorunluluğu bulunan kuruluşlar, bu tür saldırılar sonucunda veri ihlali ve sistem kesintisi yaşayabilir.

Örneğin, bir e-ticaret platformunda WSUS açığı kullanılarak ShadowPad yüklenirse, saldırganlar sistemde tam kontrol elde ederek müşteri verilerini çalabilir, ödeme altyapısını manipüle edebilir veya fidye yazılımı saldırısı için zemin hazırlayabilir. Bu durum, hem ticari itibar kaybına hem de yasal yaptırımlara yol açabilir.

Türkiye’deki SOC ekipleri ve BT yöneticileri, bu tür gelişmeleri yakından takip etmeli ve WSUS sunucularının düzenli olarak güncellenip güvenlik yamalarının uygulanmasını sağlamalıdır. Ayrıca, bulut güvenliği ve e-posta güvenliği gibi diğer kritik alanlarda da bütünsel bir savunma stratejisi oluşturulmalıdır.

Sistem Yöneticileri ve SOC Ekipleri İçin Hızlı Kontrol Listesi

  • WSUS sunucularında CVE-2025-59287 için yayımlanan Microsoft yamalarını derhal uygulayın.
  • Sunucu loglarını düzenli olarak izleyerek anormal curl.exe ve certutil.exe kullanımını tespit edin.
  • EDR çözümleri ile PowerShell tabanlı araçların (örneğin PowerCat) kullanımını engelleyin veya kısıtlayın.
  • Firewall kurallarını gözden geçirerek dışa yönelik şüpheli bağlantıların önüne geçin.
  • ShadowPad ve PlugX gibi zararlılar için IOC (Indicator of Compromise) listelerini güncel tutun ve ağ trafiğini analiz edin.
  • Sunucu üzerinde çalışan DLL yan yükleme tekniklerine karşı ikili dosya bütünlüğü kontrolleri yapın.
  • Velociraptor gibi meşru araçların kötüye kullanımını önlemek için erişim izinlerini sınırlandırın.
  • Kritik sistemlerde konteyner ve sanal makinelerde rastgele SSH portlarının açılmasını engelleyin ve erişim loglarını takip edin.

Teknik Özet

  • Kullanılan zararlılar/araçlar: ShadowPad arka kapısı, PowerCat (PowerShell tabanlı Netcat), Windows araçları (certutil, curl)
  • Hedef sektörler/ bölgeler: Özellikle Güney Kore ve Çin destekli grupların hedef aldığı kurumsal ve kritik altyapılar; Türkiye gibi gelişmekte olan pazarlarda da risk mevcut
  • Kullanılan zafiyetler: CVE-2025-59287 (WSUS kritik serileştirme açığı) — NVD Kaynağı
  • Saldırı zinciri: 1) WSUS açığı üzerinden uzaktan kod yürütme, 2) PowerCat ile sistem kabuğu elde etme, 3) certutil ve curl ile ShadowPad indirme ve DLL yan yükleme yöntemiyle zararlıyı hafızada çalıştırma
  • Önerilen savunma: Kritik yamaların hızlı uygulanması, anormal araç kullanımlarının izlenmesi, EDR ve firewall kurallarının sıkılaştırılması, IOC takibi ve sistem bütünlüğü kontrolleri

Bu tür gelişmeler, fidye yazılımı ve e-posta güvenliği gibi alanlarda da savunma stratejilerinin gözden geçirilmesini gerektiriyor. Siber güvenlik ekiplerinin, bulut güvenliği ve ağ segmentasyonu gibi modern yaklaşımlarla çok katmanlı koruma sağlaması kritik önem taşıyor.

, , , , , , ,