Bu Karşı Tedbirlerle EDR/XDR Açıklarını Önleyin



2023’ün başlarında, “spyboy” adlı bir kullanıcı, Rusça dilindeki Ramp forumu aracılığıyla Windows işletim sisteminde uç nokta savunmasından kaçmaya yönelik bir aracın tanıtımını yaptı. “Terminatör” başlıklı bir videoda tanıtılan yazılımın, herhangi bir uç nokta algılama ve yanıt (EDR) ve genişletilmiş algılama ve yanıt (XDR) platformunu sonlandırabileceği iddia ediliyor.

Bu tür bir teknik, küçük işletmelerden hizmet sağlayıcılara ve işletmelere kadar tüm kuruluşları sürekli risk altına sokar. EDR ve XDR çözümleri, tehditlerin belirlenmesinde ve azaltılmasında önemli roller oynuyor ancak Lumu’nun 2023 Fidye Yazılımı Flashcard’ına göre artık kötü aktörler için belki de en sık atlatılan siber güvenlik araçları haline geldi.

Fidye yazılımlarının ve Terminatör gibi hepsi bir arada EDR/XDR katillerinin nasıl çalıştığını anlayan kuruluşlar, bu sinsi tehditlere karşı savunma yapmak için kendilerini daha iyi donatabilirler.

CPL ve DLL Yan Yükleme

Başlangıçta Microsoft Windows işletim sistemindeki Denetim Masası’ndaki araçlara hızlı erişim için oluşturulan CPL dosyaları, kötü niyetli kişilerin kötü amaçlı yazılımları gizlemek için başvurduğu bir yer haline geldi. Dinamik bağlantı kitaplığı (DLL) yandan yükleme tekniği, saldırganların bir uygulamayı, normalde birden fazla program arasında aynı anda paylaşılan veriler için kullanılan orijinal dosyalar yerine sahte bir DLL dosyası yüklemesi için kandırmasına olanak tanır.

Saldırgan, DLL yandan yükleme saldırısı gerçekleştirmek için, Microsoft uygulamasının DLL arama sırasını kullanarak bir Windows uygulamasını zararlı bir DLL dosyası yüklemesi için kandırır. Saldırganın kodu, bir uygulamanın onu yüklemesini sağlamak için meşru bir DLL dosyasını kötü amaçlı bir DLL dosyasıyla değiştirerek hedef sistemin tamamına bulaşır.

Kod Ekleme

Saldırganlar, meşru bir uygulama veya sürece kötü amaçlı kod eklemek için genellikle kod enjeksiyonunu kullanır; bu da, kodun EDR veya EPP sistemleri tarafından tespit edilmesinden kaçmasına yardımcı olur. Kötü amaçlı kod, başka bir canlı işlemin adres alanında rastgele kod çalıştırarak meşru bir işlemin altına gizlenebilir ve güvenlik ürünlerinin tanımlanmasını zorlaştırabilir.

Kod enjeksiyonuna yönelik popüler tekniklerden biri, saldırganların Windows API’nin CreateProcess() işlevini kullanarak askıya alınmış durumda yeni bir işlem oluşturduğu süreç boşaltmadır. Daha sonra, meşru ikili dosyanın bellek sayfalarını ZwUnmapViewOfSection() veya NtUnmapViewOfSection Windows API işlevleriyle yeni işlemin adres alanından çıkararak işlemin “oyulması” sağlanır ve yeni işlem boş bir adres alanıyla bırakılır.

Kullanıcı Alanı API Bağlantısı

API kancalaması, sürecin yürütülmesini izleyen ve değişiklikleri tespit eden yaygın olarak kullanılan bir tekniktir. “Hooking” esasen uygulamalar arasındaki API çağrılarını yakalama eylemidir. Windows, geliştiricilere genellikle “kanca” olarak adlandırılan olayları, mesajları ve API çağrılarını ele geçirmek için araçlar sağlayarak uygulama kancasını kolaylaştırır.

Saldırganlar, API çağrılarını engellemek ve hedeflerine hizmet edecek şekilde onları manipüle etmek için bu tekniği kullanır. Kullanıcı alanı kancası, saldırganlar tarafından uygulamalar tarafından kullanıcı alanı içindeki sistem kitaplıklarına veya API’lere yapılan işlev çağrılarını engellemek için kullanılan yöntemlerden biridir. Saldırganlar, işlev çağrılarını kendi kodlarına yönlendirerek, kötü niyetli amaçlarını ilerletmek için bir uygulamanın davranışını manipüle edebilir.

SohbetGPT

Yakın zamanda oluşturulan BlackMamba adlı polimorfik keylogger, komut ve kontrol (C2) altyapısı olmadan kodu değiştirebiliyor. Yazarının temel amacı, bir dizi temel ilkeye dayalı kod geliştirmekti. İlk prensip, her türlü kötü niyetli C2 altyapısının ortadan kaldırılması ve bunun yerine, ilgili verileri zararsız bir iletişim kanalı üzerinden saldırgana güvenli bir şekilde ileten gelişmiş otomasyonun kullanılmasıydı. Diğer prensip, EDR’ler tarafından kullanılan algılama algoritmalarından kaçınmak için kodu sürekli değiştirerek kötü amaçlı yazılım çeşitleri üretebilen kod oluşturmak için üretken yapay zeka aracından yararlanma etrafında dönüyordu.

EDR/XDR Dahil Genel Siber Dayanıklılık Nasıl Güvenceye Alınır?

EDR/XDR teknolojilerinin fidye yazılımından yararlanılmasıyla etkili bir şekilde mücadele etmek için kuruluşların, sürekli tehdit istihbaratı ve analizi, derinlemesine savunma ve olay müdahale planlaması dahil olmak üzere sağlam güvenlik önlemleri alması gerekir.

Sürekli tehdit istihbaratı ve analizi. Kuruluşlar, kritik uç noktaları etkili bir şekilde izlemek için EDR/XDR çözümlerini yapılandırmalıdır; ancak şirketler, saldırı yüzeylerinin muhtemelen bir EDR aracısının uyumlu olmadığı eski cihazlardan veya bir EDR/XDR aracısı yüklemenize izin vermeyen basit IOT/OT cihazlarından oluşturulduğunun farkında olmalıdır. Tehdit aktörlerini belirlemek için ağı bir bakış açısı olarak kullanmak, şirketlerin EDR/XDR çözümlerine ek olarak ek bir tehdit algılama katmanı sağlamasına yardımcı olabilir. Ağ Tespiti ve Yanıtı (NDR) veya Ağ Analizi ve Görünürlüğü (NAV) araçları, kuruluşlara yalnızca uç noktalarda görülenlerden ziyade ağ üzerinden akan kötü amaçlı trafiğe ilişkin bilgi sağlar.

Kuruluşlar ayrıca gelişen fidye yazılımı tehditlerinin önünde kalabilmek için tehdit istihbaratı beslemelerinden yararlanmalı ve ortaya çıkan trendlere ilişkin düzenli analizler yapmalıdır. Bu, yeni fidye yazılımı türlerinin ve taktiklerinin proaktif olarak belirlenmesine yardımcı olarak zamanında tespit ve yanıt verilmesini sağlar. Sektöre özel bilgi paylaşım platformlarıyla işbirliği yapmak, en son saldırı teknikleri ve güvenlik ihlali göstergeleri hakkında değerli bilgiler sağlayabilir.

En yeni tehdit akışlarını ve istihbaratını uç nokta güvenliğiyle entegre etmek, daha güçlü bir EDR/XDR sistemine de olanak tanıyacak.

Derinlemesine savunma. Yukarıda bahsedilen Terminatör aracı, meşru Zemana kötü amaçlı yazılımdan koruma sürücülerinden yararlanmak için kendi savunmasız sürücünüzü getirin (BYOVD) adı verilen bir teknik kullanır. Odak noktası, savunmasız Zemana sürücülerinin ne zaman diske yazıldığını veya süreçler tarafından yüklendiğini tespit etmekti. Zemana yasal bir araç olduğundan bu sürücülerin oluşturulmasını veya yüklenmesini engellemek mümkün değildir. BYOVD saldırıları ve savunmasız Zemana kötü amaçlı yazılımdan koruma sürücülerinin kullanımı yeni değildir; bu nedenle, bunun gibi ortaya çıkan tehditleri düzenli olarak analiz etmek ve mevcut siber güvenlik yığınınızın ve süreçlerinizin en yeni tehditleri tespit etme ve engelleme görevine uygun olup olmayacağını değerlendirmek önemlidir.

Çok katmanlı güvenlik kontrolleriyle derinlemesine savunma yaklaşımını benimsemek, olası ihlallerin etkisini azaltır. Bu, ağ bölümlendirmesinin, güvenlik duvarı kurallarının, izinsiz giriş önleme sistemlerinin ve kötü amaçlı yazılımdan koruma çözümlerinin dağıtılmasını içerir.

Olay müdahale planlaması. Fidye yazılımı olaylarına özel olarak tasarlanmış kapsamlı bir olay müdahale planı geliştirmek çok önemlidir. Bu, virüs bulaşmış sistemleri yalıtmak, yayılmayı kontrol altına almak ve kritik verileri güvenli yedeklerden geri yüklemek için önceden tanımlanmış adımları içerir. Olay müdahale planının masa üstü alıştırmalar ve simülasyonlar aracılığıyla düzenli olarak test edilmesi, fidye yazılımı saldırısı karşısında hazırlıklı olunmasını sağlar.

EDR/XDR’nin Ötesinde Güvenli Siber Dayanıklılık

Fidye yazılımı operatörleri ve kötü aktörler, kaçırma teknikleri kullanarak, güvenlik açıklarını hedef alarak ve Terminatör gibi araçlarla güvenlik teknolojilerini atlatmak için izleme yeteneklerini devre dışı bırakarak taktiklerini geliştirmeye devam ediyor.

EDR/XDR teknolojileri, sağlam ve dinamik bir siber güvenlik yığınının bir öğesini oluşturur. Sürekli tehdit istihbaratı, derinlemesine savunma ve özenli olay müdahale planlamasıyla EDR/XDR araçları, tüm siber güvenlik operasyonu güçlendirilirken kendi içlerinde daha güçlü hale gelir. Bu önlemlerin alınmasıyla uç nokta savunmaları, sistemlerini ve verilerini kötü niyetli saldırıların yıkıcı etkilerinden korumada önemli bir rol oynamaya devam edebilir.



Source link