Swarmer: Windows tizimida EDR’ni chetlab o‘tib ishlaydigan yashirin mexanizm

Bugungi kunda ko‘plab tashkilotlar kompyuterlarini Endpoint Detection and Response (EDR) tizimlari bilan himoyalaydi. Bu tizimlar zararli dasturlarni, shubhali harakatlarni va ruxsatsiz o‘zgarishlarni aniqlashga mo‘ljallangan. Biroq Windows operatsion tizimida yillar davomida saqlanib qolgan ayrim eski mexanizmlar mavjud bo‘lib, ular to‘g‘ri qo‘llanilganda EDR nazoratidan chetlab o‘tilishi mumkin.

2025-yil fevral oyidan buyon amaliy hujumlarda qo‘llanib kelinayotgan va Praetorian Inc. tomonidan ommaga e’lon qilingan Swarmer — past darajadagi (low-privilege) hujumchilarga Windows tizimida EDR’ni chetlab o‘tgan holda barqarorlik (persistence) o‘rnatish imkonini beruvchi vositadir.

An’anaviy reyestr barqarorligi va uning zaif tomoni

Windows tizimlarida eng ko‘p uchraydigan barqarorlik usullaridan biri —
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run bo‘limiga yozuv qo‘shishdir. Ushbu mexanizm orqali zararli dastur foydalanuvchi tizimga kirishi bilan avtomatik ishga tushadi.

Ammo bugungi kunda EDR yechimlari:

  • RegSetValue, RegCreateKey kabi API chaqiruvlarini kuzatadi;
  • ETW (Event Tracing for Windows) va Process Monitor orqali reyestr o‘zgarishlarini qayd etadi;
  • bunday urinishlarni tezda aniqlab, ogohlantirish yoki bloklash imkoniga ega.

Shu sababli, oddiy reyestr yozuvlari hujumchi uchun endi “xavfsiz yo‘l” emas.

Mandatory User Profile — unutilgan, ammo xavfli imkoniyat

Swarmer aynan Windows’ning kam esga olinadigan funksiyasiga tayangan: mandatory user profile.

Oddiy holatda foydalanuvchi profili NTUSER.DAT fayli orqali boshqariladi. Ammo agar foydalanuvchi profilida NTUSER.MAN fayli mavjud bo‘lsa, tizim unga ustuvorlik beradi. Bunday profil:

  • foydalanuvchi o‘zgartirishlarini saqlamaydi;
  • har bir kirishda oldindan belgilangan holatga qaytadi;
  • asosan korporativ muhitlarda ishlatiladi.

Eng muhim jihati shundaki — oddiy foydalanuvchi huquqlariga ega shaxs ham NTUSER.MAN faylini yaratishi mumkin, masalan NTUSER.DAT faylini nusxalab, nomini o‘zgartirish orqali.

Swarmer’ning asosiy “hiylasi”: Offline Registry API

Muammo shundaki, yuklangan (loaded) reyestr faylini tahrirlash uchun standart Windows API’laridan foydalanish talab etiladi va bu EDR tomonidan darhol aniqlanadi.

Swarmer bu to‘siqni Offreg.dll — ya’ni Microsoft’ning Offline Registry Library yordamida aylanib o‘tadi.

Bu kutubxona aslida:

  • Windows o‘rnatish jarayonida;
  • forensika va offline tahlil paytida
    reyestr fayllarini yuklamasdan tahrirlash uchun mo‘ljallangan.

Swarmer esa undan quyidagi funksiyalar orqali foydalanadi:

  • ORCreateHive
  • OROpenHive
  • ORCreateKey
  • ORSetValue
  • ORSaveHive

Natijada:

  • Reg* API’lari umuman chaqirilmaydi;
  • EDR hook’lari ishga tushmaydi;
  • ETW va Process Monitor hech qanday faoliyatni qayd etmaydi.

Ya’ni, zararli reyestr o‘zgarishi “ko‘rinmas” tarzda amalga oshiriladi.

Swarmer qanday ishlaydi? (Ishlash jarayoni)

Swarmer’ning ish jarayoni sodda, ammo samarali:

  1. HKCU reyestrini eksport qilish
    • reg export yoki
    • TrustedSec’ning reg_query Beacon Object File (BOF) orqali (disk izsiz).
  2. Eksport qilingan .reg faylni tahrirlash
    Masalan, Run bo‘limiga zararli dastur yo‘lini qo‘shish.
  3. Swarmer yordamida NTUSER.MAN yaratish swarmer.exe exported.reg NTUSER.MAN yoki: swarmer.exe --startup-key "Updater" --startup-value "C:\Path\To\payload.exe" exported.reg NTUSER.MAN
  4. NTUSER.MAN faylini %USERPROFILE% katalogiga joylash
  5. Foydalanuvchi qayta tizimga kirganda — zararli kod avtomatik ishga tushadi.

Swarmer C# tilida yozilgan bo‘lib, EXE yoki PowerShell moduli sifatida ishlaydi. Hatto BOF chiqishini to‘g‘ridan-to‘g‘ri qayta ishlash imkoniyati ham mavjud.

Cheklovlar va xavflar

Swarmer mukammal emas va bir qator cheklovlarga ega:

CheklovTa’siri
Bir martalikNTUSER.MAN yangilash uchun admin huquq talab etiladi
Login talab etiladiFaqat chiqish/kirishda faollashadi
Faqat HKCUHKLM reyestriga kira olmaydi
Profil buzilishi ehtimoliNoto‘g‘ri sozlama login muammolariga olib kelishi mumkin

Aniqlash va himoya choralar

Blue Team va SOC mutaxassislari uchun asosiy aniqlash nuqtalari:

  • %USERPROFILE% ichida NTUSER.MAN faylining kutilmagan paydo bo‘lishi;
  • Offreg.dll’ning noodatiy jarayonlar tomonidan yuklanishi;
  • foydalanuvchi profili login vaqtida g‘ayrioddiy xatti-harakatlar ko‘rsatishi;
  • login paytidagi yashirin payload ishga tushishlari.

Himoya chorasi sifatida:

  • foydalanuvchi profillarini doimiy monitoring qilish;
  • Offreg kutubxonasidan foydalanishni baseline bilan solishtirish;
  • mandatory profile’lardan foydalanishni qat’iy nazoratga olish tavsiya etiladi.

Swarmer — bu yangi zaiflik emas, balki Windows’ning yillar davomida e’tibordan chetda qolgan mexanizmlaridan oqilona (va xavfli) foydalanish namunasidir. U zamonaviy EDR tizimlari ham doim ham barcha burchaklarni qamrab ololmasligini yaqqol ko‘rsatib berdi.

Bu ochiqlik hujumchilar uchun emas, balki himoyachilar uchun ogohlantirish bo‘lib xizmat qilishi kerak. Chunki kiberxavfsizlikda eng katta tahdid — unutilgan, lekin hanuz faol bo‘lgan imkoniyatlardir.