Kötü amaçlı yazılım geliştiricileri, siber suçlular için etkili bir şekilde “İsviçre Çakısı” işlevi gören, saldırı zincirlerinde birden fazla kötü amaçlı eylem gerçekleştirme ve en önemlisi güvenlik kontrolleri tarafından tespit edilmekten kaçınma becerisine sahip, gelişmiş, çok amaçlı kötü amaçlı yazılımlar oluşturma konusunda giderek daha becerikli hale geliyor.
Bu, Picus Labs araştırma birimini 2022 yılı boyunca 507.192’si kötü amaçlı olarak sınıflandırılan toplam 556.107 benzersiz dosyayı analiz etmekle görevlendiren ihlal ve saldırı simülasyonu uzmanı Picus Security tarafından hazırlanan bir rapora göre. Bunlar, ticari ve açık kaynaklı tehdit istihbarat servislerinden, diğer güvenlik sağlayıcılarından ve araştırmacılarından ve kötü amaçlı yazılım sanal alanlarından ve veritabanlarından alınmıştır.
Bu veriler daha sonra toplam 5.388.946 eylemi (ortalama olarak dosya başına yaklaşık 11) çıkarmak için kullanıldı ve bunları ortaya çıkaran MITRE ATT&CK teknikleriyle eşledi. Bu veriler daha sonra, bunu yapan kötü amaçlı yazılım yüzdesini ortaya çıkarmak için ayrı bir teknik kullanan kötü amaçlı dosyaların sayısını ortaya çıkarmak için sıkıştırıldı.
Bu analize dayanarak Picus, kötü amaçlı yazılımların yaklaşık üçte birinin MITRE ATT&CK çerçevesi tarafından sıralanan 20’den fazla bireysel taktik, teknik ve prosedür (TTP) sergileme yeteneğine sahip olduğunu belirlemiştir. Ortalama bir kötü amaçlı yazılım, 11 TTP’den ve 30 üzerinden yaklaşık %10 ortalamadan yararlanır.
Bu “İsviçre Ordusu” kötü amaçlı yazılımlarının geliştirilmesinin, davranışa dayalı tespit önlemlerindeki ilerlemelere tepki gösteren yüksek profilli fidye yazılımı kartellerinin derin ceplerinden finanse edildiğine inanıyor.
Picus Security’nin kurucu ortağı ve Picus Labs’ın başkan yardımcısı Süleyman Özarslan, “Modern kötü amaçlı yazılımların birçok biçimi olabilir” dedi. “Bazı ilkel kötü amaçlı yazılım türleri, temel işlevleri yerine getirmek için tasarlanmıştır. Bir cerrahın neşteri gibi diğerleri, tek görevleri büyük bir hassasiyetle yürütmek üzere tasarlanmıştır.
“Artık her şeyi yapabilen daha fazla kötü amaçlı yazılım görüyoruz. Bu kötü amaçlı yazılım, saldırganların tespit edilmeden ağlarda büyük bir hızla hareket etmesine, kritik sistemlere erişmek için kimlik bilgileri elde etmesine ve verileri şifrelemesine olanak sağlayabilir.”
“Fidye yazılımı operatörlerinin ve benzer şekilde ulus devlet aktörlerinin amacı, bir hedefe olabildiğince hızlı ve verimli bir şekilde ulaşmaktır” diye ekledi.
Ozarslan, “Daha fazla kötü amaçlı yazılımın yanal hareket gerçekleştirebilmesi, her türden rakibin BT ortamlarındaki farklılıklara uyum sağlamaya ve maaşlarını almak için daha çok çalışmaya zorlandıklarının bir işaretidir” dedi.
Picus Labs tarafından belirlenen en yaygın kullanılan MITRE ATT&CK TTP’leri, fidye yazılımının yaygınlığını açıkça göstermektedir. Sırayla, bunlar aşağıdaki gibidir:
- Örneklerin %31’inde bulunan T1059 Komut ve Komut Dosyası Tercümanı. Bu, bir rakibin sistemlerle etkileşime girmesi, yükleri ve araçları indirmesi ve güvenlik araçlarını devre dışı bırakması için rastgele komutlar, betikler ve ikili dosyalar yürütmesine izin veren bir yürütme tekniğidir.
- T1003 İşletim Sistemi Kimlik Bilgileri Dökümü, örneklerin %25’inde bulundu. Bu, saldırganların diğer kaynaklara erişmek için kullanabilecekleri hesap oturum açma ayrıntılarını elde etmek için işletim sistemlerinden ve yardımcı programlardan kimlik bilgilerini atmalarına olanak tanır.
- T1486 Data Encrypted for Impact, örneklerin %23’ünde bulundu. Şifrelemenin kötü amaçlı kullanımı, her fidye yazılımı operatörünün nihai hedefidir ve finansal olarak motive edilen hiçbir şantaj girişiminin yapılmadığı yıkıcı siber saldırılarda giderek daha fazla kullanılmaktadır.
- T1055 Proses Enjeksiyonu, numunelerin %22’sinde bulundu. Bu yaygın teknik, rakiplerin meşru süreçlere kötü amaçlı kod enjekte ederek savunmalardan kaçmasına ve ayrıcalıklarını artırmasına olanak tanır.
- T1082 Sistem Bilgisi Keşfi, örneklerin %20’sinde bulundu. Bu teknik, saldırganların içinde bulundukları BT varlığı hakkında, örneğin kullanımda olan donanım bileşenleri, uygulamalar ve ağ yapılandırmaları gibi daha fazla veri toplamasına ve yararlanabilecekleri güvenlik açıklarını bulmasına olanak tanır.
- T1021 Uzak Hizmetler, örneklerin %18’inde bulundu. Bu teknik, bir rakibin yatay olarak hareket etmek ve uzak sistemlere daha fazla erişim elde etmek için çoğunlukla Windows Uzak Masaüstü Protokolü (RDP), Güvenli Kabuk (SSH), Sunucu İleti Bloğu (SMB) vb. gibi uzak hizmetleri kullanması anlamına gelir.
- Örneklerin %15’inde bulunan T1047 Windows Yönetim Araçları. Tüm Windows tabanlı sistemlerdeki verileri ve işlemleri yöneten WMI, güvenliği ihlal edilmiş ana bilgisayarlarda kötü niyetli komutları ve yükleri yürütmek ve yerel ve uzaktan erişim elde etmek için düşmanlar tarafından kolayca kötüye kullanılır.
- T1053 Zamanlanmış Görev/İş, örneklerin %12’sinde bulundu. Bu teknik, saldırganlar tarafından bir siber saldırının çeşitli aşamalarını planlamak ve tetiklemek için kullanılabilir.
- T1497 Sanallaştırma/Sandbox kaçırma, örneklerin %10’unda bulundu. Bu teknik, kötü amaçlı yazılımların böyle bir ortamda çalıştığını algılarsa kapanarak sanallaştırma ve analiz ortamlarından kurtulmasına yardımcı olmak için kullanılır. Bu, savunucuların, müfettişlerin ve araştırmacıların neler olup bittiğini anlamalarını zorlaştırabilir.
- T1018 Uzak Sistem Keşfi, örneklerin %8’inde bulundu. Bir saldırgan, uzaktaki ana bilgisayarları ve ağları keşfetmek için bu tekniği uygulayabilirse, istismar ve saldırı için potansiyel olarak çok daha geniş bir tehdit yüzeyi açabilir.
Birlikte ele alındığında, yukarıda listelenen TTP’leri dağıtan bir kötü amaçlı yazılımın nasıl ciddi bir tehdit oluşturacağını görmek kolaydır.
Ozarslan, bu karmaşık çok amaçlı kötü amaçlı yazılımlar karşısında, güvenlik ekiplerinin en sık kullanılan TTP’lerin tespitine öncelik verecek şekilde uyum sağlamaya başlamasını ve siber kontrollerinin sürekli değerlendirilmesini başlatmasını önerdi.
“Kuruluşlar, [therefore] kritik varlıkları savunmak için çok daha hazırlıklı olun. Ayrıca dikkatlerinin ve kaynaklarının en büyük etkiyi yaratacak alanlara odaklanmasını sağlayabilecekler.”