Yeni nesil güvenlik duvarları, antivirüs yazılımı ve uç nokta algılama ve yanıt (EDR) çözümleri gibi temel siber güvenlik araçlarını tanımlayıp devre dışı bırakabilen özel avcı-öldürücü kötü amaçlı yazılımlar, 2023 yılında hacimde dört kat artış gördü ve tehditlerde dramatik bir değişim olduğunu gösterdi. aktörlerin kurumsal savunmaları etkisiz hale getirme yeteneği.
Bu, Picus Security’nin son yıllık raporuna göre Picus kırmızı raporuDönem boyunca gözlemlenen 600.000’den fazla kötü amaçlı örneği analiz eden ve kötü amaçlı yazılım başına ortalama 11 tekniği yedi milyondan fazla Mitre ATT&CK tekniğiyle eşleştiren.
Raporu derleyen Picus Security kurucu ortağı ve firmanın araştırma birimi Picus Labs’ın başkan yardımcısı Süleyman Özarslan, “Avcı-öldürücü denizaltıların özelliklerini paylaşan ultra kaçamak, son derece agresif kötü amaçlı yazılımlarda bir artışa tanık oluyoruz” dedi. veri.
“Tıpkı bu denizaltıların derin sularda sessizce hareket etmesi ve hedeflerinin savunmasını kırmak için yıkıcı saldırılar başlatması gibi, yeni kötü amaçlı yazılımlar da yalnızca güvenlik araçlarından kaçmak için değil, aynı zamanda onları etkin bir şekilde çökertmek için de tasarlandı. Siber suçluların, ortalama işletmelerin güvenliğinin büyük ölçüde iyileştirilmesine ve tehditleri tespit etmek için çok daha gelişmiş yetenekler sunan yaygın olarak kullanılan araçlara yanıt olarak yöntem değiştirdiğine inanıyoruz.
“Bir yıl önce, düşmanların güvenlik kontrollerini devre dışı bırakması nispeten nadirdi. Artık bu davranış, kötü amaçlı yazılım örneklerinin dörtte birinde görülüyor ve neredeyse her fidye yazılımı grubu ve APT grubu tarafından kullanılıyor” dedi Özarslan.
“Avcı-katil denizaltıların özelliklerini paylaşan, aşırı kaçamak, son derece agresif kötü amaçlı yazılımlarda bir artışa tanık oluyoruz”
Süleyman Özarslan, Picus Güvenlik
Avcı-öldürücü kötü amaçlı yazılımın kullanımı, T1562 Savunmaları Bozma olarak takip edilen bir Gönye ATT&CK tekniğini temsil ediyor ve kullanımındaki dramatik büyüme, onu 2023’te en çok gözlemlenen üçüncü Gönye tekniği haline getirdi.
Picus, siber güvenlik araçlarının kötü amaçlı araçlar olarak yeniden kullanılmasıyla büyümenin daha da incelikli hale getirildiğini söyledi. Örneğin, 2023 yılında LockBit fidye yazılımı ekibi, Kaspersky’nin TDSSKiller anti-rootkit yardımcı programını, Microsoft Defender da dahil olmak üzere uç nokta güvenlik yazılımlarını ortadan kaldıracak bir silaha dönüştürdü.
Avcı-öldürücü kötü amaçlı yazılımlardaki artış, tehdit aktörlerinin kurbanlarının siber savunmalarından kaçarak başarılı saldırı şanslarını optimize etme eğiliminin bir parçası. Rapor için analiz edilen kötü amaçlı yazılımların %70’i artık tespitten kaçınmak ve kalıcılık sağlamak ve sürdürmek için gizli teknikler kullanıyor . Picus, güvenlik araçlarının etkinliğini engellemek ve tespit, olay müdahalesi ve ardından gelen adli analizlerden kaçınmak için tasarlanmış, karartılmış dosya veya bilgilerin kullanımında iki kat artış gözlemledi.
Picus Security güvenlik araştırma lideri Hüseyin Can Yüceel, “Bir saldırının güvenlik araçlarını devre dışı bırakıp bırakmadığını veya yeniden yapılandırdığını tespit etmek inanılmaz derecede zor olabilir çünkü bunlar hâlâ beklendiği gibi çalışıyor gibi görünebilir” dedi.
“Aksi takdirde radar altında çalışacak saldırıların önlenmesi, derinlemesine savunma yaklaşımıyla birden fazla güvenlik kontrolünün kullanılmasını gerektirir. Güvenlik doğrulaması, kuruluşların hazırlık durumlarını daha iyi anlamaları ve boşlukları belirlemeleri için bir başlangıç noktası olmalıdır.
“Bir kuruluş, EDR’nin yanıtını değerlendirmek için proaktif olarak saldırı simülasyonu yapmadığı sürece, XDR [extended detection and response]SIEM [security information and event management]ve avcı-öldürücü kötü amaçlı yazılımlar tarafından zayıflatılabilecek veya ortadan kaldırılabilecek diğer savunma sistemleri, çok geç olana kadar kapalı olduklarını bilmeyecekler” dedi Yüceel.
Picus verilerinde görülen en sık gözlemlenen 10 Gönye ATT&CK taktiği, tekniği ve prosedürü (TTP’ler) aşağıdaki gibidir:
T1055 Süreç Enjeksiyonu – bir tehdit aktörünün tespit edilmeden kalma yeteneğini geliştirmek ve meşru bir sürece kötü amaçlı kod enjekte ederek potansiyel olarak ayrıcalıklarını yükseltmek, böylece gerçekte olanları maskelemek için kullanılır.
T1059 Komut ve Komut Dosyası Yorumlayıcısı – kurban sisteminde komutları, komut dosyalarını ve ikili dosyaları yürütmek için kullanılır; tehdit aktörlerinin ele geçirilen sistemle etkileşime girmesine, daha fazla yük ve araç almasına veya savunma önlemlerini atlamasına olanak tanır.
T1562 Savunmaları Engelleme – ayrıntılı olarak avcı-öldürücü kötü amaçlı yazılımın kullanımı.
T1082 Sistem Bilgisi Keşfi – yerleşik araçlardan yararlanarak, tehlikeye atılmış sistemdeki işletim sistemi sürümü, çekirdek kimliği ve olası güvenlik açıkları gibi verileri toplamak için kullanılır.
T1486 Etki için Şifrelenmiş Veri – fidye yazılımı dolapları ve veri silecekleri tarafından kullanılır.
T1003 İşletim Sistemi Kimlik Bilgilerinin Boşaltılması – kurban ortamındaki diğer kaynaklara ve sistemlere erişmek için hesap oturum açma bilgilerini ve kimlik bilgilerini elde etmek için kullanılır.
T1071 Uygulama Katmanı Protokolü – saldırganların sistemlere sızmasına ve normal ağ trafiğine karışarak verileri çalmasına olanak tanıyan standart ağ protokollerini değiştirmek için kullanılır.
T1547 Önyükleme veya Oturum Açma Otomatik Başlatma Yürütmesi – kontrolü sürdürmek veya ayrıcalıkları yükseltmek amacıyla, sistemler başlatıldığında veya kullanıcılar oturum açtığında programları otomatik olarak çalıştıracak şekilde sistem ayarlarını yapılandırmak için kullanılır.
T1047 Windows Yönetim Araçları (WMI) – WMI verilerini ve operasyon yönetimi aracını kullanarak güvenliği ihlal edilmiş Windows ana bilgisayarlarında kötü amaçlı komutları ve yükleri yürütmek için kullanılır.
T1027 Karmaşık Dosyalar veya Bilgiler – kötü amaçlı bir dosyanın veya aktarım sırasında yürütülebilir dosyanın içeriğini şifrelemek, kodlamak veya sıkıştırmak suretiyle gizlemek için kullanılır.
Ozarslan, avcı-öldürücü kötü amaçlı yazılımlarla mücadele etmek ve 2024 yılında da kullanılmaya devam etmesi planlanan diğer bazı TTP’lerin önünde kalmak için kuruluşların Mitre ATT&CK çerçevesine karşı savunmalarını doğrulamak ve benimsemek için daha fazlasını yapması gerektiğini söyledi. Gerekirse makine öğreniminin asistan olarak kullanılması.
En sık gözlemlenen Gönye ATT&CK teknikleri hakkında çok sayıda ayrıntı içeren raporun tamamını Picus Security’den buradan indirebilirsiniz.