Bilgisayar Korsanlarının Sistemleri Kontrol Etmek İçin Uzaktan Yönetim Araçlarını Kullanımı


Son zamanlarda, virüslü sistemi kontrol etmek ve koruma teknolojilerini atlamak için “Uzaktan Yönetim Araçlarını” kullanan bilgisayar korsanlarının vakalarında bir artış oldu.

Uzaktan yönetim araçları, terminallerin uzak bir konumdan yönetilmesine ve kontrol edilmesine olanak tanıyan yazılımlardır.

Araçlar, evden çalışmanın yanı sıra insansız cihazların uzaktan kontrolü, yönetimi ve bakımı için de kullanılabilir. “Uzaktan Yönetim Araçları” veya RAT’lar yasal olarak kullanılan uzaktan kontrol araçlarıdır.

AhnLab, GBHackers On Security ile birlikte hazırladığı bir raporda şunları paylaştı: “Tehdit aktörü, hedef sisteme uzaktan yönetim araçları kurarak aynı anda hem sistem üzerinde kontrol elde edebildi hem de kötü amaçlı yazılımdan koruma güvenlik ürünlerini atlayabildi.”

AnyDesk, dosya aktarımı ve uzak masaüstü dahil birçok işlevi olan bir uzaktan kumanda uygulamasıdır. Uzak masaüstü, kullanıcının RDP veya AnyDesk’in kurulu olduğu bir ortama uzaktan erişmesine ve onu kontrol etmesine olanak tanıyan bir programdır.

Bu durumda, Conti fidye yazılımı grubu gibi saldırganların, bir şirketin dahili ağının kontrolünü ele geçirmek amacıyla AnyDesk’i Cobalt Strike’a bağladığı biliniyor.

AnyDesk'i kullanarak uzaktan kontrol
AnyDesk’i kullanarak uzaktan kontrol

NetSupport ayrıca pano içeriğini paylaşma, ekran görüntüsü alma, tarayıcı geçmişi verilerini toplama, dosyaları yönetme ve komutları yürütme gibi işlevler de sunan bir uzaktan kontrol programıdır.

Standart bir yükleyici kullanarak kurulum işlemi gerektirmez; yalnızca gerekli dahili dosyalarla çalıştırılabilir. Yakın zamana kadar, satın alma siparişleri, sevkıyat belgeleri, faturalar ve hatta SocGholish yazılım güncelleme sayfaları gibi davranarak kullanıcıları kendilerinin yüklemeleri için kandıran kimlik avı sayfaları gibi görünen spam e-postalar yoluyla yayılıyordu.

NetSupport yürütme günlüğü – EDR algılama
NetSupport yürütme günlüğü – EDR algılama

Chrome Uzaktan Masaüstü, Google’ın sağladığı bir özelliktir. Chrome web tarayıcısı, uzak masaüstü programının yüklü olduğu ve bir kullanıcı hesabıyla ilişkilendirildiği bir sistemi uzaktan çalıştırmak için kullanılabilir.

Kuzey Kore’nin desteğine sahip olduğuna inanılan Kimsuky grubunun saldırıları genellikle işletmelerden teknoloji ve gizli verileri çalmak amacıyla gerçekleştiriliyor. Güvenliği ihlal edilen sistemi uzaktan kontrol etmek için grup, VNC gibi kötü amaçlı yazılımlar yükleyecek veya arka kapı tipi kötü amaçlı yazılım yükledikten sonra RDP’yi etkinleştirecek.

Şüpheli bir Chrome Uzaktan Masaüstü yürütmesinin EDR tespiti
Şüpheli bir Chrome Uzaktan Masaüstü yürütmesinin EDR tespiti

Chrome Uzaktan Masaüstü, son zamanlarda bazı durumlarda güvenliği ihlal edilmiş bilgisayarların kontrolünü ele geçirmek için kullanıldı.

Son düşünceler

AhnLab EDR, kullanıcılar meşru uzaktan kontrol nedenleriyle uzaktan yönetim araçlarını kullandıklarında bile ilgili verileri toplar ve sağlar. Bu, yöneticilerin şüpheli davranışları tanımlamasına ve ele almasına olanak tanır.

Ek olarak, şüpheli koşullar uzaktan yönetim araçlarının yüklenmesine yol açtığında, bu davranışlar tehdit olarak algılanarak yöneticilerin temel nedeni belirlemesine, uygun eylemi gerçekleştirmesine ve tekrarlanmayı önleyecek prosedürler oluşturmasına olanak tanır.



Source link