Siber güvenlik araştırmacıları, tehdit aktörlerinin Microsoft PowerShell’i gelişmiş antivirüs ve uç nokta algılama ve yanıt (EDR) savunmalarını atlamak için Mecre Windows komut satırı arabirimini kullandıkları büyüyen bir eğilimi ortaya çıkardılar.
Genellikle “arazide yaşamak” (LOTL) olarak adlandırılan bu teknik, saldırganların yerleşik sistem yardımcı programlarından yararlanmasına izin vererek kolayca tespit edilebilecek harici kötü amaçlı yüklere olan güvenlerini azaltır.
Sonuç, hem işletme hem de hükümet ağlarını hedefleyen gizli saldırılarda bir artıştır.
.png
)
Saldırganlar yerleşik Windows araçlarından yararlanır
Özünde, PowerShell’in kötü niyetli kampanyalarda kullanımı yeni değildir, ancak bu saldırıların karmaşıklığı ve sıklığı önemli ölçüde gelişmiştir.
Saldırganlar, kimlik avı e-postaları veya kamuya açık başvurulardaki güvenlik açıklarından yararlanarak ilk dayanak kazanarak kampanyalarını başlatırlar.
Hedef ortamın içine girdikten sonra, doğrudan bellekte veya planlanan görevlerle yoğun bir şekilde gizlenmiş PowerShell komut dosyalarını yürütürler.
Bu filessiz yaklaşım, uyarıları tetikleyebilecek diske statik kötü amaçlı yazılım artefaktları yazılmadığından, hem geleneksel imza tabanlı antivirüs çözümlerini hem de daha modern, davranış tabanlı EDR araçlarını atlamaya yardımcı olur.
PowerShell’in esnekliği, tehdit aktörlerinin ayrıcalık artışı, kimlik bilgisi boşaltma, yanal hareket ve hatta veri açığa çıkması gibi bir dizi uzlaşma sonrası faaliyet gerçekleştirmelerini sağlar.
Saldırganlar genellikle meşru sistem kütüphaneleri yükler, Windows Management enstrümantasyonunu (WMI) çağırır ve eylemlerini daha da gizlemek için yansıtıcı DLL enjeksiyonu kullanırlar.
Bu teknikleri zincirleyerek, rakipler kalıcılığı koruyabilir, tespitten kaçınabilir ve geleneksel güvenlik uyarılarını tetiklemeden ayak izlerini genişletebilir.
Tehdit oyuncusu tekniklerinde büyüyen sofistike
Güvenlik uzmanları, çağdaş PowerShell tabanlı saldırıların son derece dinamik ve şifreli komut telleri kullandığını ve adli soruşturmayı zorlaştırdığını belirtiyor.
Örneğin, Base64 kodlaması komut içeriğini maskelemek için rutin olarak kullanılırken, uzaktan komut ve kontrol (C2) iletişimi HTTPS veya meşru bulut hizmetlerinin kullanımı aracılığıyla şifrelenir.
Bu gizlenmiş komut dosyaları, daha belirgin bir söndürme yöntemlerine odaklanan ağ güvenlik cihazlarını ortadan kaldırarak, ek yükleri doğrudan belleğe indirebilir veya örtülü kanallar oluşturabilir.
Bu tür saldırıların etkisi dikkate değerdir. Kuruluşlar, ancak önemli veri kaybı veya operasyonel bozulma gerçekleştikten sonra ihlalleri keşfederler.
Güvenlik ekipleri yokuş yukarı bir savaşla karşı karşıyadır, çünkü birçok işletme operasyonu ve BT yönetimi görevleri PowerShell’e güvenerek geniş kısıtlamaları pratik hale getirir.
Bunun yerine, savunucuların katı uygulama beyaz listesi uygulamaları, derin PowerShell tomrukçuluk yapmaları ve şüpheli kullanım kalıplarını tespit etmek için tehdit istihbaratını kullanmaları istenir.
Proaktif ağ segmentasyonu, ayrıcalıklı erişim yönetimi ve sürekli kullanıcı eğitimi de sağlam bir savunma duruşunun temel bileşenleridir.
Önde gelen siber güvenlik satıcıları, anormal Powershell yürütme modellerinin tespitine, olağandışı ebeveyn-çocuk süreç ilişkileri ve daha aykırı kullanıcı davranışlarına odaklanarak davranışsal analizleri geliştirerek yanıt verdiler.
Bununla birlikte, saldırganlar meşru uç noktalar, bulut hizmetleri ve geçici altyapıdan yararlanmaya devam ettikçe, saldırganlar ve savunucular arasındaki savaşın yoğunlaşacağı açıktır.
Powershell tabanlı saldırılardaki son artış, sofistike rakiplerin güvenilir araçlardan ve sistem yeteneklerinden yararlanmaya devam edeceğini hatırlatıyor.
Güvenlik liderleri, bir uyanıklık kültürünü geliştirmeye, güvenlik çözümlerini güncel tutmaya ve geleneksel çevre tabanlı kontrollerin ötesine geçen gelişmiş algılama ve yanıt yeteneklerine yatırım yapmaya teşvik edilir.
Uzlaşma Göstergeleri (IOC)
| Gösterge Türü | Örnek/Açıklama | Bağlam/Notlar |
|---|---|---|
| Komut satırı | powershell.exe -enc | Gizli Powershell infaz |
| Ağaç ilişkisi işlemi | Ebeveyn: winword.exe → çocuk: powershell.exe | Powershell’e yol açan makro tabanlı kimlik avı |
| Ağ bağlantısı | Bilmeyen C2 alanlarına giden HTTPS | Şifrelenmiş C2 İletişim |
| Dosya/Komut Dosyası Konumu | Yürütülen komut dosyaları C:\Users\Public\ | Olağandışı komut dosyası konumu |
| Planlanan görev | Powershell’i gizlenmiş args ile çağıran görev | Kalıcılık mekanizması |
| Kayıt Defteri Değişikliği | HKCU/HKLM’de Şüpheli Powershell Girişleri | Kalıcılık ve yapılandırma değişiklikleri |
| Olağandışı Modül Yükleme | Yükleme Invoke-ReflectivePEInjection.ps1 | Yansıtıcı DLL enjeksiyonu |
| Anormal Powershell günlükleri | ScriptBlock Logging Kodlanmış komutları yakalar | Gizli ve Kaçma Taktikleri Kanıtı |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!