Son yıllarda siber saldırganlar, tespit ve güvenlik sistemlerini atlatmak için çeşitli araç ve tekniklerden yararlanarak taktiklerini sürekli olarak geliştirdiler. Güvenlik uzmanlarının dikkatini çeken trendlerden biri de kötü amaçlı LNK dosyalarının SSH komutlarıyla birlikte kullanımının artmasıdır.
Genellikle meşru kısayollar olarak gizlenen bu dosyalar, tehdit aktörlerinin (TA’lar) cephaneliklerinde etkili bir silah haline geldi ve onların sistemlere sızmasına ve çok çeşitli kötü amaçlı yükleri dağıtmasına olanak sağladı. Cyble Araştırma ve İstihbarat Laboratuvarları (CRIL) bu artan tehdidi yakından araştırdı ve 2024 yılında LNK dosyalarının enfeksiyon vektörü olarak kullanımının arttığını tespit etti.
Saldırı Vektörlerindeki Değişim: Giriş Noktası Olarak LNK Dosyaları
CRIL, araştırmasında saldırganların hedeflenen sistemlere sızmak için LNK dosyalarını giderek daha fazla kullandığı bir eğilim tespit etti. Genellikle bilgisayardaki belirli bir uygulamaya veya konuma işaret etmek üzere tasarlanan bu kısayol dosyaları, kullanıcıları kandırarak bunları çalıştırmaları için genellikle zararsız belgeler veya dosyalar olarak gizlenir. Bir kez açıldıklarında, bir dizi kötü amaçlı faaliyet başlatırlar, bu da daha karmaşık kötü amaçlı yazılımların yayılmasına yol açar ve siber suçluların ele geçirilen ortamda bir yer edinmesine olanak tanır.
LNK dosyalarının siber saldırılar için bir dağıtım mekanizması olarak giderek daha fazla kullanılması, tehdit aktörlerinin kullandığı taktiklerdeki daha geniş değişimin bir parçası. Saldırganlar, bu kısayol dosyalarından yararlanarak antivirüs programları ve uç nokta algılama ve yanıt (EDR) çözümleri dahil olmak üzere geleneksel güvenlik savunmalarını aşmayı hedefliyor.
Karada Yaşayan İkili Dosyalar (LOLBin’ler) ve Kaçınma Teknikleri
LNK tabanlı bu kampanyalarda saldırganların kullandığı başlıca tekniklerden biri, Karada Yaşayan İkili Dosyalar (LOLBin’ler). Bunlar, işletim sisteminde zaten mevcut olan ve genellikle meşru amaçlarla kullanılan güvenilir sistem ikili dosyalarıdır. Ancak siber suçlular tarafından istismar edildiklerinde, harici kötü amaçlı yazılım dağıtmaya gerek kalmadan kötü amaçlı komutları yürütmek için güçlü araçlar olarak hizmet edebilirler. Bu saldırıların çoğunda saldırganlar, ek kötü amaçlı yükleri indirmek veya yürütmek için çeşitli LOLBin’lerden yararlanarak saldırı zincirlerini daha da ilerletir.
Modern EDR çözümleri, LOLBin’leri içeren şüpheli etkinlikleri tespit etmek için tasarlanırken, bu saldırıların karmaşıklığı gelişmeye devam ediyor. Saldırganlar, algılamayı atlatmak için yöntemlerini geliştirdiler; bu da kuruluşların, güvenilir sistem yardımcı programlarının kötü amaçlı kullanımını tespit edebilecek daha gelişmiş algılama mekanizmaları uygulamasını hayati önem taşıyor.
Kötü Amaçlı LNK Dosyalarındaki SSH Komutları: Yeni Bir Gelişmişlik Katmanı
Biri Son kampanyalarda gözlemlenen daha ilginç gelişme ise SSH komutlarının kötü amaçlı LNK dosyalarına dahil edilmesidir. Geleneksel olarak sistemler arasında güvenli iletişim için kullanılan SSH komutları, artık saldırganlar tarafından kalıcı bağlantılar kurmak, kötü amaçlı yükleri yürütmek ve güvenliği ihlal edilmiş sistemler üzerinde kontrolü sürdürmek için silah haline getirildi.
CRIL’in araştırması, LNK dosyalarında özellikle Güvenli Kopyalama Protokolü (SCP) kullanan SSH komutlarının kullanıldığı çeşitli kampanyaları ortaya çıkardı. SCP, saldırganların kötü amaçlı dosyaları uzak sunuculardan güvenliği ihlal edilmiş bir sisteme indirmelerine ve daha sonra saldırıyı ilerletmek için yürütülmelerine olanak tanır.
Dosya indirildikten sonra yürütülür ve saldırganın hedeflerine ulaşılır. Bu teknik özellikle endişe vericidir çünkü bu tür işlemler için SSH kullanımı Windows sistemlerinde yaygın değildir ve bu da etkinliğin geleneksel güvenlik sistemleri tarafından tespit edilmemesine olanak tanır.
SSH Aracılığıyla PowerShell ve CMD’den Yararlanma
Tehdit aktörleri, dosya indirmeleri için SCP kullanmanın yanı sıra, LNK dosyası aracılığıyla kötü amaçlı PowerShell veya CMD komutlarını dolaylı olarak yürütmek için SSH komutlarını da kullandı. Bu komutlar, ek yükleri yüklemek ve yürütmek veya diğer sistem yardımcı programlarından yararlanmak üzere yapılandırılabilir.
CRIL tarafından gözlemlenen bu tür saldırılardan biri, bir PowerShell betiğini tetiklemek için SSH komutunu kullanan ve daha sonra uzak bir URL’den kötü amaçlı bir veri indirmek için mshta.exe’yi çağıran kötü amaçlı bir LNK dosyasını içeriyordu. Kötü amaçlı PowerShell betiğinin yürütülmesi, tehlikeye giren sisteme zararlı bir dosyanın dağıtılmasına yol açtı.
Ayrıca saldırganlar, kötü amaçlı DLL dosyalarını yüklemek ve yürütmek için cmd.exe ve rundll32 komutlarından da yararlanarak tespit çalışmalarını daha da karmaşık hale getirdi. Böyle bir durumda, saldırganlar LNK dosyasını bir dizi komutu yürütmek için kullandılar ve sonuçta bir yem belgesi içeren bir PDF dosyası başlatıldı ve bu dosya açıldığında kötü amaçlı kodun yürütülmesini tetikledi.
Gelişmiş Kalıcı Tehdit (APT) Gruplarının Kullandığı Taktikler
Bu saldırıların karmaşıklığı artmaya devam ettikçe, APT grupları SSH tabanlı teknikleri kampanyalarına giderek daha fazla dahil ediyor. Bu gruplar, hedefe yönelik ve uzun vadeli siber casusluk faaliyetleriyle tanınıyor ve LNK dosyalarını ve SSH komutlarını kullanmaları, saldırı yöntemlerinde sürekli olarak iyileştirmeler yaptıklarını gösteriyor.
Bilinen bir APT grubu olan Transparent Tribe’ın benzer teknikler yoluyla hırsızlığa yönelik kötü amaçlı yazılımların dağıtımıyla bağlantısı olduğu dikkat çekmektedir. Bu saldırılarda, kötü amaçlı veriler genellikle Go kullanılarak derlenir ve bu da bunların tespit edilmesini ve analiz edilmesini zorlaştırır.
Dikkat ve Gelişmiş Tespit İhtiyacı
LNK dosyaları ve SSH komutlarının birleşimi dünya çapındaki kuruluşlar için önemli bir tehdit oluşturmaktadır. Saldırganlar yöntemlerini geliştirmeye devam ederken, güvenlik ekiplerinin, güvenilir sistem ikili dosyalarının kötü niyetli kullanımı gibi anormal etkinlikleri tespit edebilen izleme stratejileri ve tespit sistemleri uygulaması hayati önem taşıyor.
EDR çözümlerinin, özellikle SSH’nin genellikle kullanılmadığı ortamlarda, kötü amaçlı SSH ve SCP etkinliğinin ince işaretlerini tespit edecek şekilde gelişmesi gerekir. Kuruluşlar, meşru SSH hizmetini yakından izleyerek ve kullanımını yetkili personelle sınırlandırarak kötüye kullanım riskini azaltabilir. Ayrıca OpenSSH gibi gereksiz özelliklerin gerekli olmadığı sistemlerde devre dışı bırakılması, saldırı yüzeyinin sınırlandırılmasına yardımcı olabilir.
İlgili