1 milyondan fazla kötü amaçlı yazılım örneğinin yakın tarihli bir analizi, rakiplerin gizli komuta ve kontrol (C2) işlemlerini yürütmek için açık sistem arabağlantı (OSI) modelinin uygulama katmanından giderek daha fazla yararlandığı bir eğilimi ortaya koydu.
Saldırganlar, güvenilir uygulama katmanı protokollerinden yararlanarak, kötü niyetli faaliyetleri meşru ağ trafiğine yerleştirerek geleneksel güvenlik önlemlerinin algılanmasını zorlaştırıyor.
Uygulama katmanının siber saldırılarda rolü
Picus Security’ye göre, OSI modelindeki yedinci katman uygulama katmanı, ağlardaki yazılım uygulamaları arasındaki iletişimi etkinleştirmekten sorumludur.
HTTP/S, DNS, SMTP ve MQTT gibi protokoller, bu katmanda web taramasını, dosya aktarımlarını, e -posta iletişimi ve IoT cihaz etkileşimlerini kolaylaştırmak için yaygın olarak kullanılır.
Bununla birlikte, bu aynı protokoller, meşru trafik kisvesi altında faaliyetlerini maskelemek için siber suçlular tarafından istismar edilmektedir.
MITER ATT & CK Framework’ün T1071 uygulama katmanı protokol tekniğine göre, rakipler bu protokolleri komutlar vermek, verileri dışarı atmak ve tehlikeye atılan sistemlere kalıcı erişimi sürdürmek için kullanırlar.
Taktik, saldırganların rutin ağ işlemleriyle sorunsuz bir şekilde karışmasına, algılamadan kaçınmasına ve güvenlik kontrollerini atlamasına olanak tanır.
Kötü amaçlı yazılım analizinden temel bulgular
Web Protokollerinin Kötüye Kullanımı (T1071.001)
HTTP ve HTTPS gibi web protokolleri, yaygınlıkları nedeniyle ana hedeflerdir. Örneğin:
Wezrat kötü amaçlı yazılım, şifreli C2 iletişimi için HTTPS kullanır ve meşru web trafiğinde kötü amaçlı komutları gizler. Bu, düz metin muayenesine dayanan güvenlik araçlarının tehdidi tespit edememesini sağlar.
Benzer şekilde, Glutton kötü amaçlı yazılım, C2 sunucusuyla gerçek zamanlı veri aktarımı için HTTP GET ve sonrası istekleri kullanır. HTTP başlıkları veya yanıtlar içine komutları yerleştirerek normal web trafik modellerini taklit eder.
Dosya Aktarım Protokollerinin Kullanımı (T1071.002)
SMB ve FTP gibi dosya aktarım protokolleri de Darkgate kötü amaçlı yazılımları içeren bir kampanyada, normal dosya paylaşım işlemleriyle harmanlanırken kötü niyetli komut dosyaları ve yükler sunmak için SMB kullanan saldırganlarda da manipüle ediliyor.
Ayrıca, Lemonduck kötü amaçlı yazılım, dosyaları gizlice aktarmak ve kalıcılığı korumak için EternalBlue (CVE-2017-0144) gibi SMB güvenlik açıklarından yararlandı.
Posta Protokollerinin Kötüye Kullanımı (T1071.003)
SMTP ve IMAP gibi e -posta protokolleri, Snake Keylogger kötü amaçlı yazılımının, çalınan kimlik bilgilerini ve tuş vuruşlarını e -posta ekleri veya kodlanmış mesajlar aracılığıyla eklemek için SMTP kullandığı gizli C2 iletişimi için kullanılır.
Trojan.win32.injuke.mlrx olarak tanımlanan başka bir Truva atı, yakalanan verileri operatörlerine geri göndermek için e -posta protokollerine güveniyor.
DNS tabanlı saldırılar (T1071.004)
DNS, MadmxShell Backdoor’un DNS sorguları ve yanıtları içindeki verileri kodladığı ve algılamadan kaçınırken DNS paket boyutu sınırlarına uyum sağladığı gizli iletişim için bir başka tercih edilen protokoldür.
Ayrıca, Gammaload kötü amaçlı yazılım, geleneksel DNS izleme araçlarını atlayarak şifreli iletişim için HTTPS (DOH) üzerinden DNS (DOH) kullanır.
Yayınla/Abone Olma Protokol Sömürü (T1071.005)
IoT cihazlarını hedefleyen iocontrol kötü amaçlı yazılım, tehlikeye atılan sistemlerin hassas kontrolü için şifreli kanallar üzerinden MQTT kullanır.
Bu arada, wailingcrab kötü amaçlı yazılım, meşru MQTT brokerlerini kötü amaçlı trafiği yönlendirmek için kullanarak faaliyetlerini normal IoT iletişimleri olarak gizler.
Siber güvenlik için çıkarımlar
Bu rapor, güvenilir ağ protokollerini kötü niyetli amaçlar için kullanma konusundaki düşmanların artan sofistike olmasının altını çizmektedir.
Zararlı faaliyetleri rutin trafik içine yerleştirme yetenekleri, geleneksel imzaya dayalı yaklaşımların ötesine geçen gelişmiş algılama mekanizmalarına acil bir ihtiyacı vurgulamaktadır.
Kuruluşlar şu şekilde proaktif önlemleri benimsemelidir:
- Şifreli trafiği analiz edebilen derin paket denetim araçlarının uygulanması.
- Protokol kullanımında davranışsal anomalilerin izlenmesi.
- T1071 gibi teknikleri tanımlamak ve azaltmak için MITER ATT & CK gibi tehdit istihbarat çerçevelerini dağıtmak.
Uygulama katmanı protokollerinin sömürülmesi, dünya çapında siber güvenlik uzmanları için önemli bir zorluğu temsil etmektedir.
Saldırganlar tekniklerini yenilemeye ve uyarlamaya devam ettikçe, kuruluşlar ileri algılama teknolojilerine yatırım yaparak ve daha derin bir düşman taktiklerini geliştirerek uyanık kalmalıdır.
Are you from SOC/DFIR Team? - Join 500,000+ Researchers to Analyze Cyber Threats with ANY.RUN Sandbox - Try for Free