Siber güvenlik araştırmacıları, tehdit aktörlerinin hedeflenen sistemlerde mevcut güvenlik korumalarını devre dışı bırakmak için son nokta algılama ve yanıt (EDR) yazılımının ücretsiz denemelerini kullandıkları yeni bir saldırı vektörü ile ilgili olarak ortaya çıkardılar.
“BYOEDR” (kendi EDR’nizi getir) olarak adlandırılan bu teknik, saldırganların meşru araçlar kullanarak kurumsal güvenlik önlemlerini atlamaları için sofistike bir yöntemi temsil etmektedir.
Keşif ve teknik detaylar
Güvenlik açığı ilk olarak, tehdit aktörlerinin gerçek dünya saldırılarında belirli EDR ürünlerini aktif olarak kötüye kullandığını gözlemleyen sosyal medyada güvenlik araştırmacısı Bushidotoken tarafından vurgulandı.
Bu uyarıyı takiben, araştırmacılar Bsides Albuquerque’de kapsamlı testler yaptılar ve saldırganların güvenlik yazılımını kendisine karşı silahlandırma kolaylığı konusunda birkaç endişe verici keşif yaptılar.
Araştırma ekibi, bazı EDR ve antivirüs ürünlerinin ücretsiz denemelerinin elde edilmesinin minimum doğrulama gerektirdiğini ve kötü amaçlı aktörlerin bu güçlü araçlara erişmesini önemsiz hale getirdiğini buldu.
Daha çok, saldırgan kontrolü altındaki bir EDR ürününün aynı sistemdeki başka bir meşru EDR kurulumunu etkili bir şekilde devre dışı bırakabileceğini gösterdiler.
Testlerinde, araştırmacılar, herhangi bir uyarıyı tetiklemeden veya çevrimdışı olan konakçının ötesinde telemetri üretmeden hem Crowdstrike Falcon’u hem de Elastik Defend’i devre dışı bırakmak için Cisco Secure Endpoint’i (eski adıyla AMP) başarılı bir şekilde kullandılar.
Teknik, güvenlik istisnalarının kaldırılmasını ve mevcut EDR yazılımının karmasını engellenmiş bir uygulama olarak eklemeyi ve güvenlik aracını etkili bir şekilde rakip ürünlere karşı bir silah haline getirmeyi içerir.
Bu saldırı vektörünü özellikle tehlikeli kılan şey, EDR manipülasyonunu önlemek için özel olarak tasarlanmış kurcalama koruma özelliklerini atlama yeteneğidir.
Teknik, hedef sistemde yerel yönetici erişimi gerektirse de, kendi savunmasız sürücü (BYOVD) saldırılarınızı veya DLL-inhooking tekniklerinizi getirmek gibi geleneksel EDR kaçırma yöntemlerine kıyasla daha düşük karmaşık bir yaklaşımı temsil eder.
Saldırı, ilk erişim ve ayrıcalık artışından sonra ancak yanal hareket ve veri toplamadan önce meydana gelen siber operasyonların zorunlu aşamasına uyuyor.
En az bir satıcı olan ESET için araştırmacılar, mevcut bir meşru kurulumdan kontrolü kaçırabilecek bir saldırgan kontrollü bir örnek kurmayı mümkün buldular.
Bu EDR istismar tekniği, kötü niyetli amaçlar için meşru idari araçlardan yararlanan daha geniş bir saldırgan eğilimi ile uyumludur.
2024 Crowdstrike Tehdit Avı raporu, uzaktan yönetim ve uzaktan erişim aracı istismarında yıllık% 70 artışı belgelerken, Arctic Wolf RMM araçlarının araştırılan vakalarının% 36’sında yer aldığını bildirdi.
Bu meşru araçlar saldırganlar için özellikle caziptir, çünkü güvenilir, geçerli sertifikalarla uygun şekilde imzalanırlar ve geleneksel kötü amaçlı yazılımlara kıyasla güvenlik uyarılarını tetikleme olasılığı daha düşüktür.
Güvenlik uzmanları, yetkisiz RMM, AV ve EDR araçlarını engellemek için uygulama kontrol politikaları, özel davranış göstergeleri ve uygulamaya duyarlı güvenlik duvarlarının uygulanmasını önerir.
Kuruluşlar ayrıca, yerel yönetici şifre çözümü (LAPS) gibi çözümlerle uygun ağ segmentasyonu, çevre sertleştirme, tutarlı yama ve yerel yönetici ayrıcalıklarını sınırlandırma gibi temel güvenlik uygulamalarına odaklanmalıdır.
Satıcılar, ücretsiz denemeler için daha güçlü doğrulama süreçleri uygulamaya ve yeni kurulumların meşru kiracılardan mevcut aracı kontrolünü ele geçirememelerini istemektedir.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!