Tehdit aktörleri, tespit edilmeyen ağlarda sızmak ve gezinmek için meşru uzaktan izleme ve yönetim (RMM) yazılımlarından giderek daha fazla yararlanmaktadır.
AnyDesk, Atera Agent, Meshagent, NetSupport Manager, Quick Assist, Screenconnect, Splashtop ve TeamViewer gibi RMM araçları, kuruluşlar tarafından sistem güncellemeleri, varlık yönetimi ve uç noktası sorun giderme gibi temel BT görevleri için yaygın olarak kullanılmaktadır.
Bununla birlikte, meşru doğaları, kötü niyetli olarak işaretlemeyi zorlaştırır ve bilgisayar korsanlarının kötü niyetli amaçlar için onları kullanmalarına izin verir.
Sömürü teknikleri
Bilgisayar korsanları genellikle sosyal mühendislik taktikleri aracılığıyla kullanıcı kimlik bilgilerinden ödün vererek veya modası geçmiş yazılımlardaki güvenlik açıklarından yararlanarak RMM yazılımına erişir.
İçeri girdikten sonra, bu araçları ağı haritalamak, değerli varlıkları tanımlamak ve hasat edilen kimlik bilgilerini kullanarak yanal olarak hareket etmek için kullanırlar.
Bu, hassas verileri dışarı atmalarına, fidye yazılımı dağıtmalarına veya daha fazla saldırı başlatmalarına olanak tanır.
Kalıcılığı korumak için, saldırganlar genellikle uzak masaüstü oturumları için yedekleme görevi gören veya düşman kontrollü sunuculara ters bağlantılar kuran ek uzaktan erişim araçları (sıçanlar) kurarlar.
Son kampanyalarda, tehdit aktörleri RMM yazılımını BT destek personelini ikna edici bir şekilde taklit etmek için kullandılar ve kurbanları yanlış iddialar altında uzaktan erişim yazılımı kurmaya kandırdılar.
Örneğin, Black Basta Ransomware grubunun spam saldırıları kullandığı ve ardından kurbanları AnyDesk veya TeamViewer gibi RMM araçlarını kurmaya ikna etmek için taklit çağrıları kullandığı bilinmektedir.
Kurulduktan sonra, bu araçlar saldırganların ek kötü amaçlı yazılım yüklemelerini veya tehlikeye atılan sistemlere kalıcı erişimi sürdürmesini sağlar.
Tehdit avı ve tespit
Intel471 raporuna göre, RMM araçlarının kötü niyetli kullanımını tespit etmek, hedeflenen tehdit avcılık stratejileri gerektirir.
Güvenlik ekipleri, yetkisiz RMM uygulamalarının ağda çalışıp çalışmadığını kontrol ederek başlayabilir.
RMM araçlarına izin verilirse, araştırmacılar AppData veya program dosyaları gibi standart yollardan ziyade olağandışı dizinlerden koşmak gibi anormal yürütme konumlarını aramalıdır.
Güvenlik olayı ve olay yönetimi (SIEM) araçlarını, uç nokta algılama ve yanıt (EDR) yazılımı ve günlüğe kaydedilme platformlarının kullanılması şüpheli etkinliklerin belirlenmesine yardımcı olabilir.
Örneğin, potansiyel kötü amaçlı etkinlikleri ortaya çıkarmak için anormal klasörlerden herhangi bir anormal klasörlerden herhangi bir anormal yürütmeyi tespit etmek için bir av paketi kullanılabilir.
Tespit edildikten sonra, daha fazla araştırma, ağ bağlantılarının izlenmesini ve gelecek aşama yükler için izlemeyi içerebilir.
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılım olaylarını analiz edin ve herhangi biriyle canlı erişim alın.Run -> Şimdi ücretsiz başlayın.