Bilgisayar korsanları Powershell’i antivirüs ve EDR Savunmaları’nı atlamak için kullanıyor


Siber güvenlik araştırmacıları, tehdit aktörlerinin Microsoft PowerShell’i gelişmiş antivirüs ve uç nokta algılama ve yanıt (EDR) savunmalarını atlamak için Mecre Windows komut satırı arabirimini kullandıkları büyüyen bir eğilimi ortaya çıkardılar.

Genellikle “arazide yaşamak” (LOTL) olarak adlandırılan bu teknik, saldırganların yerleşik sistem yardımcı programlarından yararlanmasına izin vererek kolayca tespit edilebilecek harici kötü amaçlı yüklere olan güvenlerini azaltır.

Sonuç, hem işletme hem de hükümet ağlarını hedefleyen gizli saldırılarda bir artıştır.

– Reklamcılık –
Google Haberleri

Saldırganlar yerleşik Windows araçlarından yararlanır

Özünde, PowerShell’in kötü niyetli kampanyalarda kullanımı yeni değildir, ancak bu saldırıların karmaşıklığı ve sıklığı önemli ölçüde gelişmiştir.

Powershell
Saldırı akışı

Saldırganlar, kimlik avı e-postaları veya kamuya açık başvurulardaki güvenlik açıklarından yararlanarak ilk dayanak kazanarak kampanyalarını başlatırlar.

Hedef ortamın içine girdikten sonra, doğrudan bellekte veya planlanan görevlerle yoğun bir şekilde gizlenmiş PowerShell komut dosyalarını yürütürler.

Bu filessiz yaklaşım, uyarıları tetikleyebilecek diske statik kötü amaçlı yazılım artefaktları yazılmadığından, hem geleneksel imza tabanlı antivirüs çözümlerini hem de daha modern, davranış tabanlı EDR araçlarını atlamaya yardımcı olur.

PowerShell’in esnekliği, tehdit aktörlerinin ayrıcalık artışı, kimlik bilgisi boşaltma, yanal hareket ve hatta veri açığa çıkması gibi bir dizi uzlaşma sonrası faaliyet gerçekleştirmelerini sağlar.

Saldırganlar genellikle meşru sistem kütüphaneleri yükler, Windows Management enstrümantasyonunu (WMI) çağırır ve eylemlerini daha da gizlemek için yansıtıcı DLL enjeksiyonu kullanırlar.

Bu teknikleri zincirleyerek, rakipler kalıcılığı koruyabilir, tespitten kaçınabilir ve geleneksel güvenlik uyarılarını tetiklemeden ayak izlerini genişletebilir.

Tehdit oyuncusu tekniklerinde büyüyen sofistike

Güvenlik uzmanları, çağdaş PowerShell tabanlı saldırıların son derece dinamik ve şifreli komut telleri kullandığını ve adli soruşturmayı zorlaştırdığını belirtiyor.

Örneğin, Base64 kodlaması komut içeriğini maskelemek için rutin olarak kullanılırken, uzaktan komut ve kontrol (C2) iletişimi HTTPS veya meşru bulut hizmetlerinin kullanımı aracılığıyla şifrelenir.

Bu gizlenmiş komut dosyaları, daha belirgin bir söndürme yöntemlerine odaklanan ağ güvenlik cihazlarını ortadan kaldırarak, ek yükleri doğrudan belleğe indirebilir veya örtülü kanallar oluşturabilir.

Bu tür saldırıların etkisi dikkate değerdir. Kuruluşlar, ancak önemli veri kaybı veya operasyonel bozulma gerçekleştikten sonra ihlalleri keşfederler.

Güvenlik ekipleri yokuş yukarı bir savaşla karşı karşıyadır, çünkü birçok işletme operasyonu ve BT yönetimi görevleri PowerShell’e güvenerek geniş kısıtlamaları pratik hale getirir.

Bunun yerine, savunucuların katı uygulama beyaz listesi uygulamaları, derin PowerShell tomrukçuluk yapmaları ve şüpheli kullanım kalıplarını tespit etmek için tehdit istihbaratını kullanmaları istenir.

Proaktif ağ segmentasyonu, ayrıcalıklı erişim yönetimi ve sürekli kullanıcı eğitimi de sağlam bir savunma duruşunun temel bileşenleridir.

Powershell
Kullanıcı Kamerasına Erişim

Önde gelen siber güvenlik satıcıları, anormal Powershell yürütme modellerinin tespitine, olağandışı ebeveyn-çocuk süreç ilişkileri ve daha aykırı kullanıcı davranışlarına odaklanarak davranışsal analizleri geliştirerek yanıt verdiler.

Bununla birlikte, saldırganlar meşru uç noktalar, bulut hizmetleri ve geçici altyapıdan yararlanmaya devam ettikçe, saldırganlar ve savunucular arasındaki savaşın yoğunlaşacağı açıktır.

Powershell tabanlı saldırılardaki son artış, sofistike rakiplerin güvenilir araçlardan ve sistem yeteneklerinden yararlanmaya devam edeceğini hatırlatıyor.

Güvenlik liderleri, bir uyanıklık kültürünü geliştirmeye, güvenlik çözümlerini güncel tutmaya ve geleneksel çevre tabanlı kontrollerin ötesine geçen gelişmiş algılama ve yanıt yeteneklerine yatırım yapmaya teşvik edilir.

Uzlaşma Göstergeleri (IOC)

Gösterge TürüÖrnek/AçıklamaBağlam/Notlar
Komut satırıpowershell.exe -enc Gizli Powershell infaz
Ağaç ilişkisi işlemiEbeveyn: winword.exe → çocuk: powershell.exePowershell’e yol açan makro tabanlı kimlik avı
Ağ bağlantısıBilmeyen C2 alanlarına giden HTTPSŞifrelenmiş C2 İletişim
Dosya/Komut Dosyası KonumuYürütülen komut dosyaları C:\Users\Public\Olağandışı komut dosyası konumu
Planlanan görevPowershell’i gizlenmiş args ile çağıran görevKalıcılık mekanizması
Kayıt Defteri DeğişikliğiHKCU/HKLM’de Şüpheli Powershell GirişleriKalıcılık ve yapılandırma değişiklikleri
Olağandışı Modül YüklemeYükleme Invoke-ReflectivePEInjection.ps1Yansıtıcı DLL enjeksiyonu
Anormal Powershell günlükleriScriptBlock Logging Kodlanmış komutları yakalarGizli ve Kaçma Taktikleri Kanıtı

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link