Skip to content

Attack Surface Reduction (ASR)

Belirli dosyaları değil, yaygın malware davranışlarını (Office'in child process spawn etmesi, LSASS credential dumping gibi) bloklayan bir Microsoft Defender Antivirus rule seti.

Mechanism

Note

ASR rules, Microsoft Defender Antivirus tarafından enforce edilen davranışsal pre-execution ve runtime block'larıdır. İstismar ettikleri invariant şu: gerçek saldırıların büyük bir kısmı küçük bir şüpheli aksiyon setinden geçer — bir Word dökümanının cmd.exe spawn etmesi, bir macro'nun Win32 API çağırması, bir script'in indirilen içeriği çalıştırması veya bir process'in lsass.exe memory'sini okuması. Legitimate yazılım bunları arada bir yapar ama malware sürekli yapar — bu yüzden her rule, stabil bir GUID ile tanımlanan böyle bir davranışı hedefler ve davranış olduğu anda Block / Audit / Warn kararı verir.

Karar dosya hash'leri veya signature'lar üzerine değil davranış üzerine olduğundan, ASR signature taramasının kaçırdığı yeni ve fileless tehditleri yakalar. Ödünleşme, zararsız line-of-business uygulamalarına karşı false positive üretmesidir; bu yüzden standart olmayan her rule, Block'a çevrilmeden önce telemetri toplamak için önce Audit modunda çalıştırılmalıdır.

Her rule şu modlardan birinde çalışır (sayısal kod, configuration metodlarının yazdığı değerdir):

Mod Kod Etki
Off / Disabled 0 Rule açıkça disable edilmiş (policy conflict'lerine yol açabilir).
Block / Activated 1 Davranış bloklanır.
Audit 2 Block gibi davranır ama yalnızca log'lar (event'ler 1122/1125/1132/1134).
Not configured 5 Enable değil; Disabled gibi ama conflict üretmez.
Warn 6 Bloklar ama kullanıcı 24 saatliğine Unblock edebilir (1809+).

Walkthrough

ASR rules GUID ile adreslenir. Microsoft Learn referans tablosundan birkaç temsili rule:

Rule GUID
LSASS'ten credential stealing'i blokla 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Tüm Office uygulamalarının child process oluşturmasını blokla d4f940ab-401b-4efc-aadc-ad5f3c50688a
Office uygulamalarının başka process'lere code injection yapmasını blokla 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Office macro'larından Win32 API çağrılarını blokla 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
PSExec ve WMI komutlarından process oluşturmayı blokla d1e49aac-8f56-4280-b9ba-993a6d77406c
Potansiyel olarak obfuscated script'lerin çalışmasını blokla 5beb7efe-fd9a-4556-801d-275e5ffc04cc
İstismar edilen zafiyetli signed driver'ların suistimalini blokla 56a863a9-875e-4185-98a7-b882c64b5ce5

Bir rule'u PowerShell ile lokal olarak enable et (PowerShell tüm ASR rules'ı destekler):

# Audit first — log without blocking
Add-MpPreference -AttackSurfaceReductionRules_Ids d4f940ab-401b-4efc-aadc-ad5f3c50688a `
                 -AttackSurfaceReductionRules_Actions AuditMode

# After validating telemetry, switch to Block
Set-MpPreference -AttackSurfaceReductionRules_Ids d4f940ab-401b-4efc-aadc-ad5f3c50688a `
                 -AttackSurfaceReductionRules_Actions Enabled

Aktif durumu incele:

PS> (Get-MpPreference).AttackSurfaceReductionRules_Ids
d4f940ab-401b-4efc-aadc-ad5f3c50688a
PS> (Get-MpPreference).AttackSurfaceReductionRules_Actions
1                # 1 = Block

Artık tetikleyici bir aksiyon — shell spawn etmeye çalışan bir Office process'i — reddedilir ve Defender, Microsoft-Windows-Windows Defender/Operational log'una Event ID 1121 (block) / 1122 (audit) yazar.

Warning

File/folder exclusion'ları "ASR rule korumasını ciddi şekilde zayıflatır": exclude edilen bir path çalışmaya izinlidir ve hiçbir event kaydedilmez. Global olanlar yerine dar, rule-bazlı exclusion'ları tercih et ve gürültülü bir rule'u susturmak için asla geniş directory'leri exclude etme — onun yerine rule scope'unu düzelt.

Detection

ASR aktivitesi üç yerde gözlemlenebilir: Windows Event Viewer (Microsoft-Windows-Windows Defender/Operational, event ID'ler 1121/1122/1125/ 1126/1131/1132/1133/1134), Microsoft Defender portal ASR rules raporu ve advanced hunting:

DeviceEvents
| where ActionType startswith "Asr"
| where ActionType endswith "Audited" or ActionType endswith "Blocked"

Mitigation

Karşılanmadığında ASR'yi sessizce disable eden gereksinimler: Microsoft Defender Antivirus Active modda primary AV olmalı (Passive/EDR-block/LPS/Off değil), real-time protection açık olmalı ve cloud-delivered protection (MAPS) erişilebilir olmalı. Bu yüzden saldırganlar ASR'yi etkisizleştirmek için genellikle Defender'ı Passive moda itmeye, real-time protection'ı disable etmeye veya cloud bağlantısını kesmeye çalışır; geniş file exclusion'ları aynı evasion'ı sessizce başarır.

References