Kalıcılık mekanizmaları, modern siber saldırılarda kritik bir rol oynayarak, yeniden başlatma, oturum kapatma veya yeniden başlatma sonrasında bile kötü amaçlı yazılımların ele geçirilen sistemlerde etkin kalmasına yardımcı olur.
Saldırganlar, yerleşik sistem özelliklerinden yararlanarak kötü amaçlı programlarının tespit edilmeden çalışmaya devam etmesini sağlar.
Aşağıda, saldırganlar tarafından kullanılan altı yaygın kalıcılık tekniğinin yanı sıra, aşağıdaki gibi araçlar kullanılarak bunların nasıl tespit edileceğini inceliyoruz: ANY.RUN’un Etkileşimli Korumalı Alanıentegre eden MITRE ATT&CK çerçevesi Kötü niyetli etkinlikleri tanımlamak için.
Siber tehditleri analiz etmeyi öğrenin
Bir gör detaylı rehber Kötü amaçlı yazılım ve kimlik avı analizi için ANY.RUN’un Etkileşimli Korumalı Alanının kullanılması
1. Başlangıç Dizini Yürütme – MITRE ATT&CK ID: T1547.001
Saldırganlar kalıcılık sağlamak için genellikle Windows Başlangıç dizininden yararlanır. Kötü amaçlı yazılım, oturum açma sırasında programları otomatik olarak yürütmek üzere tasarlanan bu klasöre kötü amaçlı dosyalar yerleştirerek, sistemin her açılışında başlatılmasını sağlar.
- Neden işe yarıyor?: Çoğu kullanıcı Başlangıç klasörünü kontrol etmez, bu da kötü amaçlı yazılımların fark edilmeden çalışmasına izin verir.
- Örnek: Snake Keylogger kötü amaçlı yazılımı dosyaları şu konumda bulunan Başlangıç dizinine bırakır:
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.
Algılama İpucu: Kullanmak ANY.RUN’un Süreç Ağacını analiz etmek için sanal alanı ve Başlangıç klasöründeki şüpheli dosya yerleşimlerini belirleyin.
2. Kayıt Defteri Otomatik Çalıştırma Anahtarı Değişikliği – MITRE ATT&CK ID: T1547.001
Kötü amaçlı yazılım, sistem başlatıldığında otomatik yürütmeyi sağlamak için kayıt defteri anahtarlarını değiştirebilir. Saldırganlar, belirli Otomatik Başlatma Uzantı Noktalarını (ASEP’ler) değiştirerek kötü amaçlı yazılımı doğrudan sistemin önyükleme sürecine yerleştirir.
Kullanıcı düzeyindeki anahtarlar hedeflendi:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Sistem düzeyindeki anahtarlar hedeflendi (yönetici ayrıcalıkları gerektirir):
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Örnek: Bu oturumda Njrat kötü amaçlı yazılımı Kalıcılık için kullanıcı düzeyindeki kayıt defteri anahtarlarını değiştirir.
Algılama İpucu: ANY.RUN korumalı alan analiz sırasında kayıt defteri anahtarı değişikliklerini vurgular.
3. Oturum Açma/Oturumu Kapatma Yardımcı Yolu Değişikliği – GÖNYE ATT&CK ID: T1547.004
Windows, kullanıcının oturum açması veya oturumu kapatması sırasında komut dosyalarını veya programları yürütmek için kayıt defteri “yardımcı” yollarını kullanır. Saldırganlar, kötü amaçlı yazılımlarının bir oturum her başladığında veya bittiğinde çalışmasını sağlamak için bu yolları değiştirir.
Kayıt defteri yolu hedeflendi:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Algılama İpucu: Kullanmak İzlemek için ANY.RUN Winlogon kayıt defteri yollarındaki değişiklikler.
4. Çekirdek Modülleri ve Uzantıları (Linux)
GÖNYE ATT&CK ID: T1547.006
Linux sistemleri, çekirdek modüllerini içeren kalıcılık mekanizmalarına karşı savunmasızdır. Bu modüller kök ayrıcalıklarıyla çalışır ve kötü amaçlı kodu doğrudan işletim sisteminin çekirdeğine yerleştirmek için kullanılabilir.
Saldırı süreci:
- Kötü amaçlı yazılım root erişimi kazanır.
- A kötü amaçlı modül gibi komutlar kullanılarak yüklenir
insmodveyamodprobe. - Modül, çekirdek düzeyindeki işlevleri değiştirerek varlığını gizler.
Neden gizli: Standart antivirüs araçları kullanıcı seviyesinde çalışır ve çekirdek seviyesindeki tehditleri tespit edemez.
Algılama İpucu: Kullanmak HERHANGİ BİR ÇALIŞMA Kötü amaçlı modül yükleme etkinliklerini tanımlamak için.
5. Ofis Uygulaması Başlatma – MITRE ATT&CK ID: T1137
Saldırganlar, bir Office uygulaması başlatıldığında kötü amaçlı kod yürütmek için Microsoft Office’in başlangıç özelliklerini hedef alır. İki yaygın yöntem şunları içerir:
Saldırganlar Microsoft Office’i yerleşik olarak kullanarak yararlanabilirler kötü amaçlı makrolar şablonlarda veya zararlı eklentiler oluşturmada. Kötü amaçlı şablonlar, uygulama başlatıldığında otomatik olarak yüklenir ve kullanıcı etkileşimi olmadan zararlı kod çalıştırır.
Benzer şekilde, saldırganlar Office’in eklenti dizinlerine kötü amaçlı eklentiler yerleştirerek, uygulama her açıldığında kodun etkinleşmesini sağlayabilir. Bu yöntemler kalıcı erişim sağlar ve önemli güvenlik riskleri oluşturur.
Örnek: A Kötü amaçlı bir Word belgesine yerleştirilmiş makro dosya her açıldığında yürütülür.
Algılama İpucu: ANY.RUN, makroları algılar ve kötü amaçlı Office dosyalarını sanal makine ortamında görüntüler.
6. Önyükleme veya Oturum Açma Başlatma Komut Dosyaları – GÖNYE ATT&CK ID: T1037
Saldırganlar, kalıcılığı korumak için sistem önyüklemesi veya kullanıcı oturum açma sırasında çalışan başlatma komut dosyalarını değiştirir. Genellikle yönetimsel işlevler için kullanılan bu komut dosyaları, kötü amaçlı yazılımları çalıştıracak şekilde değiştirilebilir.
- Örnek: Linux sistemlerindeki RC komut dosyaları, kötü amaçlı kod içerecek şekilde değiştirildi.
- Neden etkilidir?: Bu komut dosyaları otomatik olarak çalışarak kötü amaçlı yazılımların kullanıcı müdahalesi olmadan başlatılmasını sağlar.
Algılama İpucu: Önyükleme veya oturum açma komut dosyalarındaki değişiklikleri aşağıdakileri kullanarak izleyin: ANY.RUN’un analiz araçları.
Kalıcılık mekanizmaları saldırganlar için hayati önem taşıyan araçlardır ve sistem yeniden başlatıldıktan sonra bile kötü amaçlı yazılımın etkin kalmasını sağlar. Kayıt defteri anahtarlarını değiştirmekten kötü amaçlı çekirdek modülleri yerleştirmeye kadar bu teknikler, tespit edilmekten kaçınmak için meşru sistem özelliklerinden yararlanır.
Gibi araçlar ANY.RUN’un Etkileşimli Korumalı Alanı Siber güvenlik profesyonellerine bu kalıcılık yöntemlerini gerçek zamanlı olarak tespit edip analiz edebilecek güçlü yetenekler sağlayın. ANY.RUN, MITRE ATT&CK çerçevesinden yararlanarak tehditleri belirleme ve azaltma sürecini basitleştirir.
ANY.RUN Hakkında
ANY.RUN, dünya çapında 500.000’den fazla siber güvenlik uzmanı tarafından kullanılan, etkileşimli kötü amaçlı yazılım analizi için lider bir platformdur. Gibi araçlar sağlar OF Arama, ÇOCUK AramaVe Yayınlar Kullanıcıların Tehlike Göstergelerini (IOC’ler) hızlı bir şekilde tanımlamasına ve siber tehditlere etkili bir şekilde yanıt vermesine yardımcı olmak.
ANY.RUN’u ücretsiz deneyin: Kötü amaçlı yazılımları tespit edin, davranışlarını izleyin ve ekibinizle sorunsuz bir şekilde işbirliği yapın.