Kiralık gözetim endüstrisinin Teknoloji şirketleri ve hükümetler tehdidin boyutuyla boğuştukça, güçlü mobil casus yazılım araçları son zamanlarda artan bir ilgi görmeye başladı. Ancak dizüstü bilgisayarları ve masaüstü bilgisayarları hedefleyen casus yazılımlar, devlet destekli casusluktan finansal amaçlı dolandırıcılığa kadar bir dizi siber saldırıda oldukça yaygındır. Bu artan tehdit nedeniyle, olay müdahale firması Volexity ve Louisiana Eyalet Üniversitesi’nden araştırmacılar, geçen hafta Las Vegas’taki Black Hat güvenlik konferansında, uygulayıcıların Windows 10, macOS 12 ve daha fazla PC casus yazılımını yakalamak için kullanabilecekleri yeni ve iyileştirilmiş araçlar sundular. Linux bilgisayarlar.
Yaygın olarak kullanılan PC casus yazılımları – genellikle hedefleri kaydeden, farelerinin ve tıklamalarının hareketlerini izleyen, bir bilgisayarın mikrofonunu dinleyen ve kameradan hareketsiz fotoğraf veya video çeken tür – saldırganlar kasıtlı olarak ayrılmak üzere tasarladıkları için tespit edilmesi zor olabilir. minimum ayak izi. Kötü amaçlı yazılım (veya en önemli bileşenleri), kendisini hedefin sabit sürücüsüne normal bir uygulama gibi yüklemek yerine, yalnızca hedef bilgisayarın belleğinde veya RAM’inde bulunur ve çalışır. Bu, belirli klasik kırmızı bayraklar oluşturmadığı, normal günlüklerde görünmediği ve bir cihaz yeniden başlatıldığında silindiği anlamına gelir.
Bu eşik alanda neler olup bittiğini değerlendirmek için tam olarak teknikler geliştirmeye yönelik olan “hafıza adli tıp” alanına girin. Black Hat’ta araştırmacılar, açık kaynaklı bellek adli bilişim çerçevesi Volatility için bulgularına dayalı olarak yeni algılama algoritmalarını özel olarak duyurdular.
Volexity direktörü Andrew Case, WIRED’e “Hafıza adli tıp, beş veya altı yıl önce sahada hem olay müdahalesi hem de kolluk kuvvetleri tarafından nasıl kullanıldığına göre çok farklıydı” dedi. (Case aynı zamanda Volatility’nin lider geliştiricisidir.) “Gerçekten yoğun kötü amaçlı yazılım araştırmalarının dışında bile, adli adli bilişimin gerekli olduğu bir noktaya geldi. Ancak mahkemede veya bir tür yasal kovuşturmada kullanılacak bir bellek örneğinden elde edilen kanıtlar veya eserler için, araçların beklendiği gibi çalıştığını ve algoritmaların doğrulandığını bilmemiz gerekir. Black Hat için bu en son şeyler, doğrulanmış çerçeveler oluşturma çabamızın bir parçası olarak gerçekten bazı zorlu yeni teknikler.”
Case, Volexity ve diğer güvenlik firmaları, saldırılarında yalnızca bellek casus yazılımları kullanan gerçek bilgisayar korsanlarının örneklerini düzenli olarak gördüklerinden, genişletilmiş casus yazılım algılama araçlarına ihtiyaç duyulduğunu vurguluyor. Örneğin, Temmuz ayının sonunda, Microsoft ve güvenlik firması RiskIQ, Avusturyalı bir ticari casus yazılım şirketi olan DSIRF’in Subzero kötü amaçlı yazılımına karşı koymak için ayrıntılı bulgular ve hafifletmeler yayınladı.
“Gözlemlenen kurbanlar [targeted with Subzero] bugüne kadar Avusturya, Birleşik Krallık ve Panama gibi ülkelerdeki hukuk firmaları, bankalar ve stratejik danışmanlıkları içeriyor,” Microsoft ve RiskIQ yazdı. Subzero’nun ana yükü, “tespit edilmekten kaçınmak için yalnızca bellekte bulunur. Tuş günlüğü, ekran görüntüleri yakalama, dosyaları sızdırma, uzak bir kabuk çalıştırma ve isteğe bağlı eklentileri çalıştırma dahil olmak üzere çeşitli yetenekler içerir.
Araştırmacılar, özellikle farklı işletim sistemlerinin “donanım cihazları” veya sensörler ve klavye ve kamera gibi bileşenlerle nasıl konuştuğuna dair tespitlerini geliştirmeye odaklandı. Adli bellek algoritmaları, sistemin farklı bölümlerinin nasıl çalıştığını ve birbirleriyle nasıl iletişim kurduğunu izleyerek ve yeni davranışlar veya bağlantılar arayarak, potansiyel olarak daha kötü amaçlı etkinlikleri yakalayabilir ve analiz edebilir. Örneğin, potansiyel bir anlatım, her zaman çalışan bir işletim sistemi sürecini izlemek, kullanıcıların bir sistemde oturum açmasına izin veren özelliği söylemek ve çalışmaya başladıktan sonra bu sürece ek kod enjekte edilirse onu işaretlemektir. Kod daha sonra tanıtıldıysa, kötü niyetli manipülasyonun bir işareti olabilir.