Bu makale, Dahili Bitdefender Labs araştırmalarının karada yaşam (LOTL) tekniklerine ilişkin ilk bulgularını paylaşmaktadır. Akademi ile yakın bağları olan yüzlerce güvenlik araştırmacısından oluşan Bitdefender Labs’taki ekibimiz, bu analizi GravityZone Proaktif Sertleştirme ve Saldırı Yüzey Azaltma (PHASR) teknolojimizin geliştirilmesi sırasında temel araştırmalar olarak gerçekleştirdi.
Sonuçlar, düşmanların en önemli güvenlik olaylarında güvenilir sistem araçlarının kalıcı ve yaygın kullanımını ortaya koymaktadır. Bu araştırma öncelikle iç geliştirme çabalarımız için olsa da, Bitdefender laboratuvarlarından gelen bu ilk anlayışların daha geniş bir anlayış için değerli olduğuna ve daha kapsamlı bir rapordan önce bunları paylaşıyoruz.
Veri analizi ve ilk bulgular
Lotl ikili dosyalarının tam olarak ne kadar yaygın olduğunu bulmak için, son 90 günden itibaren telemetri verileri (meşru kullanım) ile birlikte Bitdefender GravityZone platformumuzdan 700.000 güvenlik olayını analiz ettik. Güvenlik olayları basit uyarılar değil, ilişkili olaylar değildi ve saldırganların LOTL ikili dosyalarını ne sıklıkta kullandığını belirlemek için tüm komut zincirini analiz ettik. Sonuç? Büyük saldırıların% 84’ü (şiddetli olaylar) LOTL ikili dosyalarının kullanımını içeriyordu. Doğrulama için MDR verilerimizi de inceledik ve tutarlı bir eğilim bulduk: Olayların% 85’i LOTL tekniklerini içeriyordu.
En çok kötüye kullanılan araç? Netsh.exe
LOTL araçları iyi kaplanmış bir konu olsa da (teknoloji açıklayıcısımız dahil), önceki analizlerin çoğu zor verilere değil deneyime dayanmaktadır. Analizimizi ne kadar hasar verebilecekleri yerine araç kullanım sıklığına dayandırdık. Sık sık istismar edilen ancak nadiren meşru amaçlar için kullanılan ikili dosyaları keşfetmeyi umuyorduk.
Hemen görülebilen şey, saldırganlar arasında popüler olan araçların da yöneticiler arasında çok popüler olmasıdır. Olağan şüpheliler gibi Powershell.exe– wscript.exeVe cripc.exe hepsi mevcuttu. Ancak, daha şaşırtıcı bulgulardan biri netsh.exe büyük saldırıların üçte birinde görünen en sık istismar aracıdır. Güvenlik duvarı yapılandırmalarını kontrol etmek, saldırganlar için mantıklı bir başlangıç adımdır, bu da veri analizinin insan operatörlerinin içgüdüsel olarak göz ardı edebileceği eğilimleri nasıl gösterebileceğini açıkça göstermektedir.
1. Netsh.exe -Yöneticiler bu komut satırı yardımcı programını, güvenlik duvarları, arayüzler ve yönlendirme dahil olmak üzere ağ yapılandırmasının yönetimi için kullanırlar.
2. Powershell.exe -Genellikle Windows yönetiminin “İsviçre Ordu Bıçağı” olarak adlandırılan PowerShell, çok yönlü bir komut satırı kabuğu ve komut dosyası dilidir.
3. Reg.exe -Bu komut satırı aracı, yöneticinin kayıt defteri girişlerini sorgulamasına, değiştirmesine, eklemesine veya kaldırmasına olanak tanır ve tehdit aktörleri sık sık kalıcılık oluşturmak için kullanır.
4. CSC.EXE -Microsoft C# derleyicisi, C# kaynak kodunu yürütülebilir düzenlemelere (.exe dosyaları) veya dinamik bağlantı kitaplıklarına (.dll dosyaları) derlemek için bir komut satırı aracıdır.
5. Rundll32.exe – Bu sistem yardımcı programı DLL dosyalarından dışa aktarılan işlevleri yükler ve yürütür. Genellikle DLL kenar yükleme saldırıları için kullanılır.
Daha önce de belirtildiği gibi, saldırganlar arasındaki araçların popülaritesi genellikle meşru yöneticilerle popülerliklerini yansıtır. Bu genel eğilim çoğunlukla geçerlidir, ancak bazı dikkate değer istisnalar ortaya çıktı. Özellikle, tehdit aktörleri gibi araçlardan yararlanır mshta.exe– pwsh.exeVe Bitsadmin.exe Ancak yöneticiler onları nadiren kullanırlar.
Çoğu lolbin, sistem yönetiminde deneyimli olanlara çok aşina olsa da, çok iyi anlaşılmayan başka bir istismar araç kategorisi var. CSC.EXE, MSBUILD.EXE (Microsoft Build Engine) veya NGen.exe (.NET Yerel Görüntü Jeneratörü) gibi bu araçlar öncelikle geliştiriciler tarafından kullanılır ve yalnızca geleneksel sistem yönetimi ikili dosyalarına odaklanmış güvenlik izleme radarı altında uçabilir.
MSBUILD.EXE İstismarına Bir Örnek Değişmez Deniz Pus Araştırmamız
Basit çözümlerin cazibesi
Araştırmamız beklenmedik bir gözlem daha ortaya koydu: Powershell.exe iş ortamlarında. Veri kümemizdeki kuruluşların yaklaşık% 96’sı PowerShell’i meşru bir şekilde kullanırken, ilk beklentimiz infazının öncelikle yöneticilerle sınırlı olacağı idi. Şaşırtıcı bir şekilde, tüm uç noktaların şaşırtıcı bir şekilde% 73’ünde PowerShell aktivitesini tespit ettik. Daha fazla araştırma, PowerShell’in sadece yöneticiler (ve sinir bozucu oturum açma/giriş komut dosyaları) tarafından değil, aynı zamanda görünür bir arayüz olmadan PowerShell kodunu çalıştıran üçüncü taraf uygulamalar tarafından sıklıkla çağrıldığını ortaya koydu.
Benzer bir model ile ortaya çıktı wmic.exe. 2000 yılı civarında popüler olan bu araç, büyük ölçüde PowerShell tarafından idari amaçlar için yerini almıştır ve Microsoft tarafından hizmetten çıkarılması planlanmaktadır. Ancak, birçok iş istasyonunda düzenli kullanımını bulduğumuz için şaşırdık. Verileri analiz ederek, wmic.exe hala sistem bilgilerini toplamak için çok sayıda üçüncü taraf uygulaması tarafından yaygın olarak kullanılmaktadır.
Coğrafi analiz ayrıca araç kullanımında ilgi çekici farklılıklar ortaya koymuştur. Örneğin, Powershell.exe Veri kümemizdeki kuruluşların sadece% 53,3’ünde APAC (Asya-Pasifik) ‘de önemli ölçüde daha düşük bir varlık gösterdi. Bu, analizimizin%97,3’lük bir daha yüksek benimseme oranını gösterdiği EMEA ile keskin bir tezat oluşturuyor. Tersine, PowerShell kullanımı APAC’da daha düşükken, Reg.exe bu bölgede diğer tüm coğrafi alanlara kıyasla daha sık mevcuttu.
Bu, nüanslı anlayışın öneminin altını çizmektedir, çünkü modası geçmiş veya kullanılmayan araçlar bile belirli işlevler için kritik olabilir ve bunları devre dışı bırakmak öngörülemeyen aksamalara neden olabilir.
Onlarla yaşayamazsın, onlarsız yaşayamazsın
“Onlarla yaşayamadığımız ve onlarsız yaşayamadığımız” LOTL gerçekliği, Bitdefender GravityZone Proaktif Sertleştirme ve Saldırı Yüzey Azaltma (PHASR) teknolojisinin gelişimini doğrudan bilgilendirdi. Bu temel araçları engellemede doğal riskleri ve bozulma potansiyelini tanıyan PHASR, daha nüanslı ve akıllı bir yaklaşım benimser: eylem tabanlı kontrol yoluyla bireyselleştirilmiş uç nokta sertleşmesi.
PHASR tüm araçları engellemenin ötesine geçer, aynı zamanda saldırganların içlerinde kullandığı belirli eylemleri izler ve durdurur. Gibi süreçlerin davranışını analiz ederek Powershell.exe– wmic.exeveya certutil.exePHASR kötü niyetli niyeti meşru kullanımdan ayırır. Örneğin PHASR, PowerShell’in şifreli komutları çalıştırma veya kritik sistem konfigürasyonlarıyla kurcalama girişimlerini proaktif olarak engelleyen normal Scriptswhile’ı yürütmesine izin verir.
Dikkate almak Wmic.exe Tekrar. PHASR, meşru operasyonları bozabilecek tüm aracı engellemek yerine, sistem bilgisi alımı için meşru kullanımı ile yanal hareket veya süreç manipülasyonu için kötüye kullanımı arasında farklılaşır. Bu aksiyon seviyesi engelleme, kullanıcı ve saldırgan davranışının katmanlı analizi ile birleştiğinde, iş kesintisi olmadan özel korumayı sağlar.
Phasr’ın etkinliği, bilinen saldırgan oyun kitapları ve kapsamlı tehdit zekamız tarafından bilgilendirilen yüzlerce ayrıntılı kuralı içeren mimarisinde yatmaktadır. Motor, her bir uç noktada tipik kullanıcı ve uygulama davranışı taban çizgisi oluşturarak sürekli olarak öğrenir. Bu öğrenilen davranış daha sonra bilinen kötü niyetli kalıplarla ve ortaya çıkan tehditlerle sürekli olarak karşılaştırılır. Akıllı analiz, PHASR’nin sadece şüpheli aktiviteyi tespit etmesini ve raporlamasına değil, aynı zamanda kullanımları yerleşik taban çizgisinden saptığında ve kötü amaçlı göstergelerle hizalandığında, belirli araçlara ve hatta işlevlerinin bölümlerine proaktif olarak erişimi engellemesine izin verir. Bu proaktif engelleme, sürekli manuel politika ayarlamaları veya ince ayar gerektirmeden sorunsuz bir şekilde gerçekleşir ve yeni LOTL saldırılarına karşı sağlam koruma sağlar.
Çözüm
Blackbasta Fidye Grubu Lideri “GG” kelimeleri, 700.000 güvenlik olayının analizinin ortaya koyduğu merkezi zorluğun altını çiziyor. “Standart yardımcı programlar kullanırsak, tespit edilmeyeceğiz… Asla makinelerde araç bırakmayız.” Büyük saldırılardaki karada yaşamın% 84’ü (LOTL) tekniklerinin% 84’ü doğrudan bu düşman perspektifini doğrular.
Saldırganlar, güvendiğimiz ve günlük olarak güvendiğimiz sistem kamu hizmetlerini ustalıkla manipüle ederek geleneksel savunmalardan kaçınmada açıkça başarılıdır – ve tehdit aktörleri, kendinden emin bir şekilde tespit edilemez bir iddiayla çalışırlar. Bu keskin gerçeklik, Bitdefender’ın PHASR gibi güvenlik çözümlerine yönelik temel bir değişim gerektirir, bu da bu araçlardaki kötü niyetli niyeti ayırt etmek ve nötralize etmek için künt engellemenin ötesine geçer.