Attack Surface Reduction (ASR)¶
Belirli dosyaları değil, yaygın malware davranışlarını (Office'in child process spawn etmesi, LSASS credential dumping gibi) bloklayan bir Microsoft Defender Antivirus rule seti.
Mechanism¶
Note
ASR rules, Microsoft Defender Antivirus tarafından enforce edilen
davranışsal pre-execution ve runtime block'larıdır. İstismar ettikleri
invariant şu: gerçek saldırıların büyük bir kısmı küçük bir şüpheli aksiyon
setinden geçer — bir Word dökümanının cmd.exe spawn etmesi, bir macro'nun
Win32 API çağırması, bir script'in indirilen içeriği çalıştırması veya bir
process'in lsass.exe memory'sini okuması. Legitimate yazılım bunları
arada bir yapar ama malware sürekli yapar — bu yüzden her rule, stabil bir
GUID ile tanımlanan böyle bir davranışı hedefler ve davranış olduğu anda
Block / Audit / Warn kararı verir.
Karar dosya hash'leri veya signature'lar üzerine değil davranış üzerine olduğundan, ASR signature taramasının kaçırdığı yeni ve fileless tehditleri yakalar. Ödünleşme, zararsız line-of-business uygulamalarına karşı false positive üretmesidir; bu yüzden standart olmayan her rule, Block'a çevrilmeden önce telemetri toplamak için önce Audit modunda çalıştırılmalıdır.
Her rule şu modlardan birinde çalışır (sayısal kod, configuration metodlarının yazdığı değerdir):
| Mod | Kod | Etki |
|---|---|---|
| Off / Disabled | 0 | Rule açıkça disable edilmiş (policy conflict'lerine yol açabilir). |
| Block / Activated | 1 | Davranış bloklanır. |
| Audit | 2 | Block gibi davranır ama yalnızca log'lar (event'ler 1122/1125/1132/1134). |
| Not configured | 5 | Enable değil; Disabled gibi ama conflict üretmez. |
| Warn | 6 | Bloklar ama kullanıcı 24 saatliğine Unblock edebilir (1809+). |
Walkthrough¶
ASR rules GUID ile adreslenir. Microsoft Learn referans tablosundan birkaç temsili rule:
| Rule | GUID |
|---|---|
| LSASS'ten credential stealing'i blokla | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Tüm Office uygulamalarının child process oluşturmasını blokla | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
| Office uygulamalarının başka process'lere code injection yapmasını blokla | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
| Office macro'larından Win32 API çağrılarını blokla | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
| PSExec ve WMI komutlarından process oluşturmayı blokla | d1e49aac-8f56-4280-b9ba-993a6d77406c |
| Potansiyel olarak obfuscated script'lerin çalışmasını blokla | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
| İstismar edilen zafiyetli signed driver'ların suistimalini blokla | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
Bir rule'u PowerShell ile lokal olarak enable et (PowerShell tüm ASR rules'ı destekler):
# Audit first — log without blocking
Add-MpPreference -AttackSurfaceReductionRules_Ids d4f940ab-401b-4efc-aadc-ad5f3c50688a `
-AttackSurfaceReductionRules_Actions AuditMode
# After validating telemetry, switch to Block
Set-MpPreference -AttackSurfaceReductionRules_Ids d4f940ab-401b-4efc-aadc-ad5f3c50688a `
-AttackSurfaceReductionRules_Actions Enabled
Aktif durumu incele:
PS> (Get-MpPreference).AttackSurfaceReductionRules_Ids
d4f940ab-401b-4efc-aadc-ad5f3c50688a
PS> (Get-MpPreference).AttackSurfaceReductionRules_Actions
1 # 1 = Block
Artık tetikleyici bir aksiyon — shell spawn etmeye çalışan bir Office process'i — reddedilir ve Defender, Microsoft-Windows-Windows Defender/Operational log'una Event ID 1121 (block) / 1122 (audit) yazar.
Warning
File/folder exclusion'ları "ASR rule korumasını ciddi şekilde zayıflatır": exclude edilen bir path çalışmaya izinlidir ve hiçbir event kaydedilmez. Global olanlar yerine dar, rule-bazlı exclusion'ları tercih et ve gürültülü bir rule'u susturmak için asla geniş directory'leri exclude etme — onun yerine rule scope'unu düzelt.
Detection¶
ASR aktivitesi üç yerde gözlemlenebilir: Windows Event Viewer (Microsoft-Windows-Windows Defender/Operational, event ID'ler 1121/1122/1125/ 1126/1131/1132/1133/1134), Microsoft Defender portal ASR rules raporu ve advanced hunting:
DeviceEvents
| where ActionType startswith "Asr"
| where ActionType endswith "Audited" or ActionType endswith "Blocked"
Mitigation¶
Karşılanmadığında ASR'yi sessizce disable eden gereksinimler: Microsoft Defender Antivirus Active modda primary AV olmalı (Passive/EDR-block/LPS/Off değil), real-time protection açık olmalı ve cloud-delivered protection (MAPS) erişilebilir olmalı. Bu yüzden saldırganlar ASR'yi etkisizleştirmek için genellikle Defender'ı Passive moda itmeye, real-time protection'ı disable etmeye veya cloud bağlantısını kesmeye çalışır; geniş file exclusion'ları aynı evasion'ı sessizce başarır.