Sofistike saldırılara karşı tespit becerilerini geliştiren çözümlere duyulan ihtiyaç, sürekli değişen siber güvenlik dünyasında artmaktadır.
Komutan, uzakta prosedür çağrısını (RPC) ve bileşen nesne modeli (COM) etkinliklerini ayrıntılı düzeyde izleyerek savunma telemetrisini desteklemek için tasarlanmış hafif, C#tabanlı bir yardımcı program olarak ortaya çıkar.
Bu protokolleri içeren ağ tabanlı sömürülerin tanımlanmasındaki boşlukları ele almak için geliştirilen Komutan, Microsoft-Windows-RPC ETW sağlayıcısına dokunarak RPC etkileşimleri ve bunların üstüne katmanlı COM soyutlamaları hakkında karmaşık ayrıntıları ortaya çıkaran düşük seviyeli olayları yakalar.
Bu yaklaşım, savunuculara, ileri kalıcı tehditlerde yaygın olan yetkisiz çağrılar veya zorlama taktikleri gibi potansiyel kötü niyetli davranışları ortaya çıkarmaya teşvik etmektedir.
Gelişimini ve ilgili kural setini derinlemesine incelemek için, Jacob Acuna’nın ayrıntılı blog yazısı, aracın başlangıç ve pratik uygulamaları hakkında değerli bilgiler sunar ve ham telemetriyi eyleme geçirilebilir zekaya nasıl dönüştürdüğünü vurgular.
Özünde, Komutan dikkate değer basitlik ve verimlilikle çalışır ve kullanıcıların belirli filtrelere dayalı algılama kurallarını tanımlayan bir yapılandırma dosyası sağlamasını gerektirir.
Rapora göre, bu kurallar, InterfaceUuid, Opnum, Endpoint, NetworkName veya ProcessName gibi olayların eşleşen kriterlerinin tanımlanmasına izin vererek izleme üzerinde hassas kontrol sağlar.
Örneğin, bir kural UUID “C8CB7687-E6D3-11D2-A958-00C04F682E16” UUID’i hedefleyebilir. “C681D488-D850-11D0-8C52-00C04FD90F7E” Petitpotam EFSRPCOPENFILERAW istismarları yoluyla kimlik doğrulama zorlamasını tespit etmek için.
Operasyonel mekanik
Başlatıldıktan sonra, araç, sistem olaylarını sürekli olarak tarar ve eşleşmeler meydana geldiğinde terminal çıkışları yoluyla uyarılırken, minimum kaynak yükünü korurken, sistem performansını ezebilecek yüksek RPC olayları göz önüne alındığında kritik bir avantaj sağlar.
Bu hafif tasarım, komutanın gözlemsiz bir şekilde çalışmasını sağlar ve önemli hesaplama yükü olmadan kurumsal ortamlarda gerçek zamanlı konuşlandırılmaya uygun hale getirir.
Komutan dağıtımı, hem komut satırı arayüzü (CLI) yürütme hem de hizmet tabanlı işlem seçenekleriyle basittir.
CLI kullanımı için, aynı dizinden bir config.xml dosyasını yüklemeyi varsayılan olarak komutan.exe çalıştırın.
Servis kurulumu, en son sürümün indirilmesini ve InstallService.ps1’in yönetici olarak yürütülmesini, dosyaları C: \ Program Files \ Commander’a yerleştirmeyi ve yerel sistem hesabı altında çalıştırmayı içerir.
Kullanıcılar, kurulum sırasında Enter tuşuna basarak reddedilebilen bir kimlik bilgileri istemiyle karşılaşabilir.
Başlatma hizmeti komutanı aracılığıyla hizmeti başlatmak, “Komutan” oturum açma ve hizmet günlükleri altında Windows olay görüntüleyicisinde oturum açan etkinliklerle izlemeyi etkinleştirir.
Anahtar olay kimlikleri, servis başlatma için 1, kapatma için 2, kural yükleme için 3, çalışma zamanı hataları için 4 ve tetiklenen algılamalar için 5’i içerir ve faaliyetlerin merkezi bir görünümünü sağlar.
UnrSstallation UninstallService.ps1 kullanılarak eşit derecede basittir. Bununla birlikte, önemli bir uyarı, CLI ve hizmeti aynı anda çalıştırmaktan kaçınmaktır, çünkü bu bir hizmet yeniden başlatılması gereken işlemleri çözmek için bozabilir. Kaynaktan bina zahmetsizdir: Visual Studio ve Build’de açıktır.
Kurallar şu anda tür başına yalnızca bir örneği desteklerken, XML tabanlı yapılandırma, hedeflenen tehdit avı için filtreleri birleştiren numune şablonlarında görüldüğü gibi esneklik sunar.
Genel olarak, Komutan’ın ETW güdümlü içgörüleri kullanıcı tanımlı kurallarla entegrasyonu, onu RPC ve COM sömürüsüne karşı savunmaları güçlendirmek için ilgi çekici, yüksek bir araç olarak konumlandırır, siber güvenlik profesyonellerini eğlenceli bir şekilde karmaşık bir dijital arenada bir adım önde tutmak için teknik derinliği operasyonel kolaylıkla harmanlar.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.