Bilgisayar korsanları, LOLBAS’tan (Living-Off-the-Land Binaries-And-Scripts) aktif olarak yararlanır; bu, tehdit aktörleri tarafından gerçekleştirilen yasa dışı eylemleri gizlemek için yasal araçlardan yararlanmak için kullanılan popüler bir metodolojidir.
LOLBAS, siber saldırılarda hızlı bir ivme kazandığından, uzmanlar ayrıca daha iyi savunma mekanizmaları için bilinmeyen kötü amaçlı ikili dosyaları tespit etmek için aktif olarak yeni yöntemler arıyorlar.
Pentera Labs’daki siber güvenlik araştırmacıları, yakın zamanda tehdit aktörleri tarafından kötü amaçlı yazılım dağıtmak için aktif olarak kullanılan yeni LOLBAS ikili dosyalarını keşfetti.
3000’den fazla Windows ikili dosyası, LOLBAS keşif zorluğunu ortaya koyuyor. Araştırmacılar bile otomasyon yaklaşımını seçtiler ve 4 haftada 12 yeni dosya buldular, bu da bilinen indiriciler ve yürütücülerde %30’luk bir artış.
LOLBAS: Daima Yeşil Bir Siber Saldırı Türü
LOLBAS, bir süredir siber güvenlik ortamında bilinen bir kavram olmuştur. Ancak siber saldırılarda en baskın trendlerden biri olarak ivme kazanmaya devam ediyor.
Bilgisayar korsanlarının sistemlerinizdeki meşru araçları nasıl sürekli olarak kullanmaya çalıştıklarını ve ardından onları yasa dışı amaçları için size karşı nasıl kullandıklarını anlamak önemlidir.
Bunun dışında, olağanüstü tespitten kaçma kabiliyeti nedeniyle LOLBAS, siber saldırılarda hala önemli bir endişe kaynağı olmaya devam ediyor. Onu bu kadar güçlü yapan şey, kötü amaçlı eylemleri yürütmek için önceden yüklenmiş yasal sistem araçlarını kullanmadaki ustalığıdır.
İkili Dosyaların Tespiti
Otomatikleştirilmiş çözüm, indirme girişimini oluşturur, ikili dosyaları listeler ve ardından iki bölümden oluşan basit bir HTTP komut yapısı aracılığıyla indiriciyi tetikler. Ve aşağıda bu iki bölümden bahsettik: –
- Potansiyel indiricinin yolu
- Dosyayı indirmek için bir URL
İkinci kısım, indirme girişimleri hakkında geri bildirim almak için bir HTTP sunucusu içerirken, günlük kayıtları dosya indirme girişimlerini gösterir.
Uzmanların otomatik yöntemi, 6 ek indirici ortaya çıkardı ve bu da toplam 9 keşifle LOLBAS listesinde %30’luk bir artışa yol açtı.
Bu senaryoda, bir bilgisayar korsanı, güçlü kötü amaçlı yazılım elde etmek için LOLBAS indiricisini konuşlandıracak ve ardından bunu yasal süreçler gibi göstererek LOLBAS yürütücülerini kullanarak gizlice yürütecektir.
Manuel yaklaşım şu şekilde görünür: –
Bunun yanı sıra, bu tam süreç iki araçla otomatikleştirilebilir ve işte buradalar: –
- IDApython: API çağrısı çapraz referanslarını bulur ve kaynak koda dönüştürür.
- ChatGPT: Sağlam bir POC için işlev bağımsız değişkenlerinin bağlantılarının analiz edilmesine yardımcı olur.
Önerilen statik yaklaşım, aşağıdaki gibi kodun alt düzey ayrıntılarına odaklanarak dinamik analizi aşar: –
- Daha derin kod içgörüleri için tersine mühendisliği otomatikleştirme
- Açık yapı
- Davranış
- Potansiyel sorunlar
Ayrıca, bu eksiksiz analiz, proaktif bir savunma yol haritası sunarak, güvenlik uzmanlarını gelişen siber tehditleri tahmin etme ve önleme konusunda güçlendiriyor.
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberleri hakkında bilgi sahibi olun. twitterve Facebook.