Siber suçlular, güvenlik yazılımı tarafından tespit edilmekten kaçınarak Windows bilgisayarların güvenliğini aşmanın daha etkili bir yöntemini buldu.
Ivan Spiridonov, kötü amaçlı araçlar yükleyen bilgisayar korsanlarının artık hedef sistemlerde zaten yüklü olan meşru Windows programlarını kullandıklarını gözlemledi; bu taktik, “toprağın dışında yaşamak” (LOLBins veya Karada Yaşayan İkili Dosyalar) olarak bilinen bir taktiktir.
Uç nokta algılama ve yanıt (EDR) çözümleriyle kolayca tespit edilen Mimikatz veya PowerShell Empire gibi harici araçlara dayanan geleneksel saldırıların aksine.
Bu Yöntem Neden İşe Yarar?
Bu yeni yaklaşım, PowerShell, Windows Yönetim Araçları (WMI), Certutil ve BitAdmin gibi Microsoft imzalı programlardan yararlanır.
Bu araçlara varsayılan olarak güvenilir çünkü sistem yöneticileri bunları her gün meşru işler için kullanır.
İtiraz basittir: Güvenlik yazılımı genellikle şüpheli dosyaları işaretler, ancak Windows’un yerleşik araçları Microsoft tarafından imzalanır ve varsayılan olarak izin verilir.
Saldırganlar bu meşru programları kötü niyetli amaçlarla kullandıklarında, etkinlikleri normal idari işlemlerle sorunsuz bir şekilde karışır ve karmaşık davranış analizi olmadan tespit edilmesi neredeyse imkansız hale gelir.
Kırmızı ekip operatörü, bir güvenlik değerlendirmesi sırasında bu avantajı ilk elden keşfetti. Güvenlik personeli, bir Windows makinesine parola boşaltma aracını yükledikten sonra saldırıyı 15 dakika içinde tespit edip engelledi.
Ancak yalnızca yerleşik Windows yardımcı programları kullanıldığında, üç hafta boyunca aynı operatör tarafından sürdürülen erişim, 15 farklı sistem arasında taşındı ve tek bir güvenlik uyarısını tetiklemeden verileri çıkardı.
Ortak Arazi Dışında Yaşama Teknikleri
Saldırganlar farklı amaçlar için çeşitli yerel Windows araçlarını kullanır. PowerShell keşif ve komut yürütme işlemlerini gerçekleştirir.
WMI, uzaktan sistem sorgularına ve süreç oluşturmaya olanak tanır. Zamanlanmış görevler, şüpheli yürütülebilir dosyalara ihtiyaç duymadan kalıcılık sağlar. Ve Windows hizmetleri, sistem düzeyinde ayrıcalıklarla uzun vadeli erişime olanak tanır.
Suçlular dosyaları indirmek için Certutil’i, arka planda aktarımlar için BitAdmin’i, gizli tünelleme için DNS’yi ve hatta hassas bilgileri sızdırmak için e-posta uygulamalarını kullanıyor.
Güvenlik ekipleri neredeyse imkansız bir zorlukla karşı karşıyadır: Kendi BT personeli normal operasyonlar için onlara bağlı olduğundan bu araçları öylece engelleyemezler.
PowerShell’i devre dışı bırakmak otomasyon komut dosyalarını bozar. WMI’nın kaldırılması sistem yönetimi özelliklerine zarar verir.
Bu, temel bir ikilem yaratır: Bu araçlara izin verin ve riski kabul edin ya da onları engelleyip meşru iş fonksiyonlarını sekteye uğratın.
Savunma, imza tabanlı tespitten kapsamlı kayıt ve davranış analizine doğru temel bir değişimi gerektirir.
| Fayda / Özellik | Kötü Amaçlı İşlev | Neden Tespitten Kaçıyor? |
|---|---|---|
| PowerShell | Diğer sistemlerde uzaktan komut yürütülmesine olanak sağlar. | Güvenilir bir Microsoft otomasyon aracı olduğundan, kötü amaçlı komut dosyaları normal BT işlemlerine benzer. |
| WMI (Windows Yönetim Araçları) | İnternetten kötü amaçlı yükleri indirmek veya çalınan verileri sızdırmak için kötüye kullanılır. | Keşif, kimlik bilgilerini boşaltma ve ağ üzerinde yanal hareket için kullanılır. |
| Certutil.exe | Belirli zamanlarda saldırgan kodunu çalıştıran işler ayarlayarak kalıcı erişim oluşturur. | Çoğu güvenlik denetimi tarafından açıkça izin verilen meşru bir sertifika yetkilisi yardımcı programıdır. |
| Zamanlanmış Görevler | Kalıcılık oluşturmak ve sistem yapılandırmalarını değiştirmek için kullanılır. | Kötü amaçlı görevler meşru sistem bakım işleri olarak gizlenir. |
| Windows Kayıt Defteri | Kötü amaçlı görevler meşru sistem bakım işleri olarak gizlenir. | Saldırganların dosya yüklemeden veya şüpheli protokoller kullanmadan komutları yürütmesine olanak tanır. |
Güvenlik ekiplerinin ayrıntılı sistem davranışını izlemek için PowerShell komut dosyası blok günlüğü kaydına, komut satırı denetimine, WMI etkinliği izlemesine ve Sysmon gibi araçlara ihtiyacı vardır.
Ivan Spiridonov, savunucuların ayrıca listeleme izin politikalarının sıkı bir şekilde uygulanması ve olağandışı süreç ilişkilerinin izlenmesi gerektiğini de sözlerine ekledi.
Yönetim araçlarından şüpheli ağ bağlantılarını izleyin ve düzenli yönetim faaliyetleri için temeller oluşturun.
Bu önlemler, tek tek komutlar normal görünse bile meşru araçların kötü amaçlarla kötüye kullanıldığı durumları belirleyebilir.
Saldırganlar yöntemlerini geliştirmeye devam ettikçe, kuruluşların bilinen araçları engellemenin ötesine geçmeleri ve hangi meşru uygulamanın kötüye kullanıldığına bakılmaksızın, güvenliği ihlal ettiğini gösteren şüpheli davranış kalıplarını tespit etmeye odaklanmaları gerekiyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
