Bsides London 2024’te yakın tarihli bir siber güvenlik sunumu, Kendi güvenilir ikili getirin (Byotb).
Bu yöntem, uç nokta algılama ve yanıt (EDR) sistemleri ve güvenlik duvarları gibi gelişmiş güvenlik önlemleriyle tespit etmek için meşru, güvenilir ikili dosyalardan yararlanır.
JumpSec Labs’tan siber güvenlik araştırmacısı David Kennedy tarafından sunulan bulgular, saldırganların gizli operasyonlar yürütmek için güvenilir araçları nasıl kullandıklarına ışık tuttu.
Kötü niyetli amaçlar için güvenilir araçlardan yararlanmak
BYOTB tekniği, Cloudflare’s gibi meşru ikili dosyalara yerleştirilen doğal güvenden yararlanır. cloudflared ve openssh yardımcı programları.
Genellikle dijital olarak imzalanan ve meşru amaçlar için yaygın olarak kullanılan bu ikili dosyalar, saldırganlar tarafından güvenlik kontrollerini atlamak için yeniden kullanılmaktadır.
Örneğin, Kennedy nasıl cloudflared İkili, SSH trafiğini HTTPS (bağlantı noktası 443) üzerinden tünellemek için kullanılabilir, ağ kısıtlamalarını etkili bir şekilde atlar ve Crowdstrike EDR gibi güvenlik araçları tarafından kaçınma tespiti.
Gibi komutlar kullanarak cloudflared tunnel run --token YourTokenHeresaldırganlar iyi huylu görünen şifreli tüneller kurabilirler.
Bu tüneller daha sonra ters bağlantı noktası yönlendirme veya çorap proxying için kullanılabilir, bu da saldırganların verileri dışarı atmasına veya tehlikeye atılan sistemlere kalıcı erişimi sürdürmesini sağlar.
OpenSsh ikili dosyaları, bunları gibi gerekli bağımlılıkların yanında konuşlandırarak uzaktan erişim sağlamanın bir yolu olarak vurgulandı. libcrypto.dll.
Gelişmiş teknikler ve OPSEC hususları
Kennedy, Cloudflare’nin çözgü istemcisinin geleneksel SSH tünellemesine alternatif olarak kullanılması da dahil olmak üzere gelişmiş teknikler üzerinde ayrıntılı bilgi verdi.
Bu yaklaşım bir VPN gibi davranır ve saldırganların SSH veya proxychains’e güvenmeden hedef ağlara erişmesine izin verir.
Ayrıca, saldırganların belirli bağlantı noktalarını engelleyen güvenlik duvarı kurallarından kaçmak için trafiği birden fazla tünel katmanı aracılığıyla yeniden yönlendirdiği bir “çift tünel” yöntemi açıklanmıştır.
Bu yöntemlerin etkinliğine rağmen, Kennedy saldırganlar için operasyonel güvenliğin (OPSEC) önemini vurguladı.
JUMPSEC Labs’a göre, güvenilir ikili dosyaları aşırı trafikle aşırı yüklemek veya varlıklarını gizlememek, saldırıları tehlikeye atarak saldırıları tehlikeye atabilir.
BYOTB saldırılarının ortaya koyduğu riskleri azaltmak için kuruluşlar proaktif izleme ve algılama stratejilerini benimsemelidir:
- Süreç Telemetrisi: “Tünel” veya “Erişim” gibi şüpheli anahtar kelimeler için komut satırı argümanlarını izleyin, bu da ikili dosyaların kötüye kullanıldığını gösterebilir
cloudflared. - DNS Logging: Tünelleme araçlarıyla ilişkili alan adlarına sorguları parçalayın (örn.
argotunnel.com) potansiyel kötüye kullanımı tanımlamak için. - Güvenlik Duvarı Kuralları: Gerekli olmayan bağlantı noktalarındaki giden trafiği kısıtlayın ve liman kullanımındaki anomalileri izleyin.
- Dosya İzleme: Onaylı listelere karşı dosya karmalarını doğrulayarak GitHub gibi platformlardan güvenilir ikili indirmeleri algılayın.
Bu önlemler, son nokta güvenlik çözümleri ve çalışan bilinçlendirme eğitimi için düzenli güncellemelerle birleştiğinde, kuruluşların BYOTB taktiklerine karşı savunmasına yardımcı olabilir.
BYOTB saldırılarının yükselişi, güvenilir araçları kötü niyetli amaçlar için kullanan tehdit aktörlerinin gelişen taktiklerinin altını çiziyor.
Meşru ikili dosyalardan yararlanarak, saldırganlar normal ağ etkinliğine karışabilir ve algılamayı önemli ölçüde daha zor hale getirebilir.
Bu teknikler siber suçlular arasında çekiş kazandıkça, kuruluşların savunma yeteneklerini geliştirmeleri ve ortaya çıkan tehditlere karşı uyanık kalmaları zorunludur.
Are you from SOC/DFIR Team? - Join 500,000+ Researchers to Analyze Cyber Threats with ANY.RUN Sandbox - Try for Free