Yeni bir siber saldırı dalgası, meşru bir idari araç olan Windows Uzaktan Yönetimi’ni (WINRM) kötüye kullanarak ve kurumsal ağlar arasında algılamadan kaçınmak için Active Directory (AD) ortamlarını hedefliyor.
Güvenlik araştırmacıları ve olay müdahale ekipleri, saldırganlar WinRM’yi normal ağ etkinliği ile karıştırmak için giderek daha fazla yararlanarak kötü niyetli eylemlerinin tespit edilmesini zorlaştırdıkça alarmlar yükseltiyor.
WinRM, Microsoft’un Windows sistemlerinin uzaktan yönetimini sağlamak için tasarlanmış WS-Management Protokolü’nü uygulamasıdır.
.png
)
Yöneticilerin PowerShell komut dosyalarını yürütmesine ve cihazları HTTP (bağlantı noktası 5985) veya HTTPS (bağlantı noktası 5986) üzerinden uzaktan yönetmelerine olanak tanır.
BT işlemleri için paha biçilmez olmakla birlikte, aynı özellik geçerli kimlik bilgileri kazanan ve daha sonra komutları yürütmek veya uzak sistemlere kötü amaçlı yükler dağıtmak için WinRM’yi kullanan saldırganlar tarafından silahlandırılıyor.
Gizli yanal hareket
Saldırganlar, kimlik avı veya kimlik bilgisi hırsızlığı yoluyla ilk sistemden ödün verdiğinde, WinRM etkinleştirilmiş diğer ana bilgisayarlar için ağı tararlar.
Çalıntı veya kaba zorlanmış kimlik bilgilerini kullanarak, rutin idari görevler olarak görünen komutları yürüterek ek makinelerde kimlik doğrulaması yaparlar.
Her yeni WinRM oturumu, kullanıcının bağlamı altında yeni bir işlem (wsmprovhost.exe) oluşturur, kötü niyetli kod çalıştırmak ve algılamayı daha zor hale getirmek için temiz bir ortam sağlar.
İki temel teknik gözlenmiştir:
- Powershell Beşiği: Saldırganlar, AMSI (Antimalware Tarama Arayüzü) gibi güvenlik kontrollerini atlamak ve çok aşamalı yükleri doğrudan belleğe yükleyerek diskteki ayak izlerini en aza indirmek için gizlenmiş PowerShell komut dosyalarını kullanırlar.
- .NET Modül Yükleyici: Saldırganlar bir argüman olarak bir özel .NET montajını geçirerek, Powershell’i implantları bellekte yüklemek ve yürütmek için geleneksel antivirüs ve uç nokta algılama sistemlerinden daha da kaçınır.
WinRM meşru yönetim için yaygın olarak kullanıldığından, kötü niyetli aktivitenin normal operasyonlardan ayırt edilmesi zor olabilir.
Saldırganlar, genellikle uzun süreler boyunca tespit edilmeyen işler yapan yanal hareketlerini gizlemek için bu “gürültü” kullanırlar.
Güvenlik ekipleri, normal WINRM kullanımı için temel çizgiler oluşturma ve anormallikleri ezici yanlış pozitifler olmadan tanımlama zorluğuyla karşı karşıyadır.
Tespit ve azaltma
Uzmanlar bu tehdide karşı koymak için çeşitli stratejiler önerir:
- WinRM erişimini kısıtlayın: WINRM izinlerini sadece güvenilir bir idari ana bilgisayarlarla, ideal olarak sertleştirilmiş bir Jumpbox mimarisi aracılığıyla sınırlayın.
- Anomalileri Monitör: WinRM’yi içeren WSMPROVHOST.EXE ve olağandışı ağ bağlantılarından kaynaklanan süreçleri takip edin.
- Güçlü kimlik doğrulamasını uygulayın: Yönetim hesapları için çok faktörlü kimlik doğrulama gerektirir ve kimlik bilgisi kötüye kullanımı için izleyin.
- Denetim ve taban çizgisi: WinRM kullanımını düzenli olarak denetleyin ve sapmaları hızlı bir şekilde tanımlamak için net temel çizgiler oluşturun.
Windows uzaktan yönetiminin kötüye kullanılması, reklam ortamlarında saldırganlar ve savunucular arasındaki devam eden silah yarışını vurgular.
Rakipler tespitten kaçınmak için yerleşik araçlardan yararlanmaya devam ettikçe, kuruluşlar erişim kontrollerini sıkılaştırarak, izlemeyi geliştirerek ve BT ekipleri arasında bir güvenlik farkındalığı kültürünü geliştirerek uyum sağlamalıdır.
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir