Belgelenen yüzlerce MITRE ATT&CK tekniğinden ikisi alana hakimdir: komut ve komut dosyası yorumlayıcıları (T1059) ve kimlik avı (T1566).
İçinde 10 Nisan’da yayınlanan raporD3 Security, güncel 75.000’den fazla siber güvenlik olayını analiz etti. Amacı, hangi saldırı yöntemlerinin en yaygın olduğunu belirlemekti.
Sonuçlar çok net bir tablo çiziyor: Bu iki teknik, diğerlerini büyüklük sırasına göre geride bıraktı; en üstteki teknik, ikinciyi üç kat geride bıraktı.
Sınırlı dikkat ve kaynak ayırmak isteyen savunmacılar için burada en yaygın ATT&CK tekniklerinden sadece birkaçı ve bunlara karşı nasıl savunma yapılacağı anlatılmaktadır.
Yürütme: Komut ve Komut Dosyası Yorumlayıcısı (Saldırıların %52,22’sinde Kullanıldı)
Ne olduğunu: Saldırganlar komut dosyaları yazıyor PowerShell gibi popüler diller ve Python’u iki temel amaç için kullanırız. En yaygın olarak, veri toplama veya veri indirme ve çıkarma gibi kötü amaçlı görevleri otomatikleştirmek için kullanılırlar. Antivirüs çözümlerini, genişletilmiş algılama ve yanıt (XDR) ve benzerlerini atlayarak algılamadan kaçınmak için de kullanışlıdırlar.
Bu komut dosyalarının bu listede açık ara 1 numara olması, D3’ün ürün ve hizmetten sorumlu başkan yardımcısı Adrianna Chen için ekstra şaşırtıcı. “Komut ve Komut Dosyası Yorumlayıcısı (T1059) Yürütme taktiği kapsamına girdiğinden, MITRE ATT&CK öldürme zincirinin orta aşamasındadır” diyor. “Dolayısıyla, daha önceki taktiklere ait diğer tekniklerin, EDR aracı tarafından tespit edilene kadar zaten tespit edilmediğini varsaymak doğru olur. Bu tek tekniğin veri setimizde bu kadar öne çıktığı göz önüne alındığında, bunu sağlayacak süreçlere sahip olmanın öneminin altını çiziyor. Olayın kaynağına kadar iz sürüyor.”
Buna karşı nasıl savunulur: Kötü amaçlı komut dosyaları çeşitli ve çok yönlü olduğundan, bunlarla başa çıkmak, potansiyel olarak kötü niyetli davranışların tespitini katı izleme ayrıcalıkları ve komut dosyası yürütme politikalarıyla birleştiren kapsamlı bir olay müdahale planı gerektirir.
İlk Erişim: Kimlik Avı (%15,44)
Ne olduğunu: Kimlik avı ve onun alt kategorisi olan hedef odaklı kimlik avı (T1566.001-004), saldırganların hedeflenen sistemlere ve ağlara erişmesinin birinci ve üçüncü en yaygın yoludur. Birincisini genel kampanyalarda, ikincisini ise belirli bireyleri veya kuruluşları hedef alırken kullanarak, amaç mağdurları hassas hesaplara ve cihazlara erişim sağlayacak önemli bilgileri açıklamaya zorlamaktır.
Buna karşı nasıl savunulur: En akıllı ve en eğitimli olanlar bile aramızda karmaşık sosyal mühendisliğe aşık oluyoruz. Sık sık yapılan eğitim ve bilinçlendirme kampanyaları, çalışanların kendilerinden ve pencere açtıkları şirketlerden korunmasına yönelik bazı adımlar atabilir.
İlk Erişim: Geçerli Hesaplar (%3,47)
Ne olduğunu: Başarılı kimlik avı genellikle saldırganların meşru hesaplara erişmesine olanak tanır. Bu hesaplar, normalde kilitli olan kapıların anahtarlarını sağlar ve onların çeşitli kötülüklerini örter.
Buna karşı nasıl savunulur: Çalışanlar kaçınılmaz olarak o kötü amaçlı PDF’ye veya URL’ye tıkladığında, sağlam çok faktörlü kimlik doğrulama (MFA) başka hiçbir şey olmasa da saldırganların üzerinden atlayabileceği daha fazla çember görevi görebilir. Anormallik tespit araçları, örneğin yabancı bir kullanıcının uzaktaki bir IP adresinden bağlanması veya kendisinden yapması beklenmeyen bir şey yapması durumunda da yardımcı olabilir.
Kimlik Bilgisi Erişimi: Kaba Kuvvet (%2,05)
Ne olduğunu: Eski günlerde daha popüler bir seçenek olan kaba kuvvet saldırıları, zayıf, yeniden kullanılan ve değişmeyen şifrelerin her yerde bulunması sayesinde varlığını sürdürüyor. Burada saldırganlar, kullanıcı adı ve şifre kombinasyonlarını otomatik olarak çalıştıran komut dosyaları kullanır; sözlük saldırısı — istenilen hesaplara erişim sağlamak için.
Buna karşı nasıl savunulur: Bu listedeki hiçbir öğe kaba kuvvet saldırıları kadar kolay ve tamamen önlenebilir değildir. Yeterince güçlü şifreler kullanmak sorunu kendi başına çözer. Tekrarlanan oturum açma denemelerinden sonra kullanıcıyı kilitlemek gibi diğer küçük mekanizmalar da işe yarar.
Kalıcılık: Hesap Manipülasyonu (%1,34)
Ne olduğunu: Bir saldırgan, ayrıcalıklı bir hesaba erişmek için kimlik avı, kaba kuvvet veya başka bir yöntem kullandığında, hedeflenen sistemdeki konumunu sağlamlaştırmak için bu hesaptan yararlanabilir. Örneğin, asıl sahibini kilitlemek için hesabın kimlik bilgilerini değiştirebilir veya halihazırda sahip olduklarından daha ayrıcalıklı kaynaklara erişmek için izinleri ayarlayabilirler.
Buna karşı nasıl savunulur: Hesap güvenliğinin ihlal edilmesinden kaynaklanan hasarı azaltmak için D3, kuruluşların hassas kaynaklara erişim konusunda sıkı kısıtlamalar uygulamasını ve aşağıdaki kurallara uymasını tavsiye ediyor: en az ayrıcalıklı erişim ilkesi: herhangi bir kullanıcıya işini gerçekleştirmesi için gereken minimum erişim düzeyinden fazlasını vermemek.
Bunun yanı sıra, bu ve diğer MITRE tekniklerine uygulanabilecek bir dizi öneri sunmaktadır:
-
Şüpheli hesap etkinliklerini tespit etmek ve bunlara yanıt vermek için günlüklerin sürekli izlenmesi yoluyla dikkatli olunması
-
Ağın zaten tehlikeye atıldığı varsayımıyla çalışmak ve potansiyel hasarı azaltmak için proaktif önlemler almak
-
Teyit edilen güvenlik ihlallerinin tespit edilmesi üzerine karşı tedbirleri otomatikleştirerek müdahale çabalarını kolaylaştırmak, hızlı ve etkili bir hafifletme sağlamak