SentinelOne tarafından yürütülen araştırmaya göre, bilgi güvenliği araştırmacılarının yanı sıra bilgi güvenliği topluluğunu da etkileyen yeni bir risk belirlendi.
Bilgi güvenliği topluluğunu hedef alan tehdit aktörleri yeni bir şey değildi çünkü bilgi güvenliği bireylerinin hedef alındığı birkaç örnek vardı.
Birçok güvenlik araştırmacısı, diğer çeşitli istismarları araştırmak ve Kavram Kanıtı geliştirmek için Ghidra, IDA Pro ve diğerleri gibi güvenlik araştırma araçlarına güvenir.
Bu güvenlik araştırmacıları, yakın zamanda 2022’de Google Threat Analytics Group (TAG) tarafından bildirilen bir hedef odaklı kimlik avı kampanyasında hedef alındı.
Güvenlik Araştırmacılarına Yönelik Saldırılar
Birçok güvenlik araştırmacısı, güvenlik aracı maliyetlerini karşılayamadığı için, korsan yazılımlar için ücretli bir araçla aynı işlevselliği ücretsiz olarak sağlayan torrentlere güveniyorlar.
Bu tür araçlar, tehdit aktörleri tarafından hedef alındı ve veri hırsızlığı ve istismar sonrası teknikler için kullanıldı.
2021’de ESET tarafından yapılan bu tür bir araştırma, bazı kötü niyetli aktörlerin IDA Pro torrentlerini hedeflediğini ve istismar sonrası takip için IDA yardımcısı adına bir sunucudan ek bir DLL indiren kötü amaçlı bir kod enjekte ettiğini belirtti.
Leiden Üniversitesi’nden başka bir rapor, kavram kanıtı GitHub depolarının yaklaşık %10’unun hedeflenen ortamdan veri sızdırma yeteneğine sahip olduğunu belirtti.
Güvenlik araştırmacıları tarafından yürütülen GitHub projelerinin çoğu, kötü niyetli hesaplarla bağlantı kurmuştu.
SentinelOne ayrıca, “Karadan gelen saldırı türlerinin üstesinden gelmek için belirli bir tersine mühendislik veya dijital adli tıp aracını kullanma yeteneğinin bulunabileceğinden” ve “Ghidra gibi bir yazılımın, bir tehdit aktörünün güvenlik topluluğu üyelerini hedef almasına olanak tanıdığından” bahsetti.
Arazi Dışında Yaşamayı Tanımlamak
Living off the Land, tehdit aktörlerinin dosyasız kötü amaçlı yazılım kullandığı ve daha fazla saldırı vakası için kurbanın sistemindeki meşru yazılım ve hizmetlere güvendiği bir saldırı senaryosudur. Böyle bir vaka çalışması, Ghidra yazılımı (NSA tarafından yayınlanan) ile yürütüldü.
Saldırgan, işlevselliği geçersiz kılmak için /.Ghidra/patch dizini içinde Ghidra ile aynı sınıf adını içeren Ghidra deposundaki bir .java jar dosyasını değiştirebilir.
Bu yol, artık tehdit aktörünün kontrolünde olan güvenlik araştırmacıları için gerekli güvenlik düşmanını serbest bırakır.
Bu kontrol bir kez ele geçirildiğinde, Ghidra’nın varsayılan işlevi bu olduğundan, tehdit aktörü ikinci aşama yükünü sisteme bırakabilir.
Ghidra’nın ilk kurulumu sırasında /.ghidra adlı bir dizin yoksa, tehdit aktörünün bir kimlik avı kampanyası yürütmek için kullanabileceği bir kullanıcı sözleşmesi politikası gösterecektir.
Bu araştırmaya ilişkin eksiksiz bir rapor SentinelOne tarafından bir vaka çalışması, istismar ve bu tür saldırı senaryolarına karşı koruma dahil olmak üzere yayınlandı.