Güvenlik araştırmacıları, modern saldırganların geleneksel saldırı araçlarını terk ettiğini ve bunun yerine güvenlik alarmlarını tetiklemeden siber saldırılar gerçekleştirmek için meşru Windows yardımcı programlarını silah haline getirdiğini keşfetti.
“Toprağın Dışında Yaşamak” olarak bilinen bu taktik değişikliği, sistemlerini korumaya çalışan kuruluşlar için önemli bir zorluk teşkil ediyor.
Araziden yaşamak, kötü amaçlı faaliyetler yürütmek için yalnızca Windows ile önceden yüklenmiş olarak gelen yerel araç ve programların kullanılması anlamına gelir.
Saldırganlar, Mimikatz veya Cobalt Strike gibi özel bilgisayar korsanlığı araçlarını yüklemek yerine, yöneticilerin her gün kullandığı PowerShell, Windows Yönetim Araçları (WMI) ve certutil.exe gibi meşru Microsoft imzalı yürütülebilir dosyaları kullanır.
Bu yaklaşım son derece etkilidir çünkü bu araçlar zaten sistemde bulunmaktadır, Microsoft onlara güvenmektedir ve çoğu güvenlik kontrolü açıkça bunların çalışmasına izin vermektedir.
Savunmacılar imkansız bir seçimle karşı karşıyadır: Bu araçları engelleyin ve meşru iş operasyonlarını bozun ya da bunlara izin verip güvenlik riskini kabul edin.
Geleneksel EDR Algılama Neden Başarısız?
Uç Nokta Tespit ve Yanıt sistemleri, kötü amaçlı dosyaları ve bilinen bilgisayar korsanlığı araçlarını yakalamak için tasarlanmıştır.
Dosya imzalarını tararlar, şüpheli işlem yürütmelerini izlerler ve olağandışı sistem davranışını analiz ederler.
Ancak bu sistemler, PowerShell’i yasal olarak rutin bakım için kullanan bir yönetici ile kimlik bilgilerini çalmak veya ağda dolaşmak için aynı aracı kullanan bir bilgisayar korsanı arasında ayrım yapmakta zorluk çekiyor.
Güvenlik araştırmasında paylaşılan kırmızı ekip çalışmalarına göre, “Yalnızca yerleşik araçları kullandığınızda, bulunacak şüpheli hiçbir şey kalmaz çünkü orada olması gereken araçları kullanırsınız.”
Saldırganların lehine olan temel asimetri bu zorlukta yatıyor: Savunucuların aynı komutun aynı imzalarla ve geçerli Microsoft kimlik doğrulamasıyla meşru ve kötü niyetli kullanımı arasında ayrım yapması gerekiyor.
Güvenlik araştırmacısı Ivan Spiridonov, saldırganların yerel Windows yardımcı programlarını kötüye kullanmanın birçok yolunu belgeledi:
PowerShell, ağlar arasında keşif, kimlik bilgisi dökümü ve yanal hareket için kullanılır. Güvenilir bir Microsoft aracı olduğundan saldırılar normal BT operasyonlarına karışır.
WMI (Windows Yönetim Araçları), herhangi bir dosya yüklemeden veya şüpheli protokoller kullanmadan diğer sistemlerde uzaktan komut yürütülmesine olanak tanır.
Certutil.exe, dosya indirme özelliğine sahip meşru bir sertifika yardımcı programıdır. Saldırganlar, kötü amaçlı yükleri indirmek veya çalınan verileri dışarı çıkarmak için bundan yararlanır.
Zamanlanmış Görevler, saldırgan kodunu belirli zamanlarda çalıştıran meşru görünümlü bakım işleri oluşturarak kalıcı erişim sağlar.
Yerel Windows araçları aracılığıyla kayıt defteri manipülasyonu, saldırganların özel kötü amaçlı yazılım dağıtmadan kalıcılık oluşturmasına ve sistem yapılandırmalarını değiştirmesine olanak tanır.
Kuruluşlar bu saldırıları tespit etme konusunda giderek artan bir baskıyla karşı karşıya. Dosya tabanlı tehditlere odaklanan geleneksel uç nokta koruması yetersizdir.
Güvenlik ekipleri, internetten içerik indiren PowerShell komut dosyaları, olağandışı zamanlarda uzaktan işlemler oluşturan WMI veya aşırı kimlik bilgisi boşaltma girişimleri gibi şüpheli kalıpları belirlemek için gelişmiş günlük kaydı ve davranış analitiği uygulamalıdır.
Meşru idari faaliyetleri izlerken yanlış pozitiflerin yaygın olması nedeniyle karmaşıklık artar.
Kötü niyetli davranışları normal BT operasyonlarından ayırmak, birçok kuruluşun sahip olmadığı karmaşık analiz yeteneklerini gerektirir.
Güvenlik uzmanları, kuruluşların PowerShell komut dosyası blok günlük kaydını etkinleştirerek, komut satırı süreç denetimini uygulayarak, WMI etkinliğini yakından izleyerek ve ayrıntılı sistem etkinliğini yakalamak için Sysmon gibi gelişmiş izleme araçlarını dağıtarak algılama yeteneklerini geliştirmelerini önermektedir.
Ek olarak kuruluşlar, basit dosya engellemenin ötesine geçen, hassas işlemler için çok faktörlü kimlik doğrulama gerektiren, yanal hareketi sınırlamak için ağ bölümlendirmesini uygulamalı ve kimlik bilgilerinin korunmasına odaklanan düzenli güvenlik farkındalığı eğitimleri gerçekleştiren uygulama izin verilenler listesine ekleme politikalarını uygulamalıdır.
Saldırganlar taktiklerini geliştirmeye ve meşru Windows araçlarını kötü amaçlarla kullanmaya devam ettikçe, güvenlik sektörü tehdit tespitinde yeni zorluklarla karşı karşıya kalıyor.
Siber güvenliğin geleceği muhtemelen kuruluşların imza tabanlı tespitin ötesinde kapsamlı davranış analizi ve tehdit avlama stratejilerine doğru ilerlemesine bağlı.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.