Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Ulusal Güvenlik Ajansı (NSA), Federal Soruşturma Bürosu (FBI) ve diğer yazar kurumlar, karada ortak yaşam (LOTL) teknikleri ve siber savunmadaki ortak boşluklar hakkında ortak bir kılavuz yayınladı. Yetenekler.
Arazide Yaşamak (LOTL), suçluların meşru BT yönetim araçlarını kullanarak kötü niyetli faaliyetler gerçekleştirdiği gizli bir siber saldırı tekniğidir.
Bu ortak kılavuz, ÇHC Devlet Destekli Aktörlerin ABD Kritik Altyapısına Uzlaşma ve Kalıcı Erişimi Koruma adı verilen ortak Siber Güvenlik Danışma Belgesi (CSA) ile birlikte gelir.
Bu yayınlar, Çin (PRC) hükümetiyle bağlantılı olduğu iddia edilen grupların kritik altyapılara yönelik saldırılarına ilişkin son uyarılara bir tepkidir.
FBI kısa süre önce, saldırının Volt Typhoon olarak bilinen Gelişmiş Kalıcı Tehdit (APT) grubunun işi olduğuna inandığı için ABD genelindeki yüzlerce yönlendiriciden kötü amaçlı yazılımları kaldırmak için bir mahkeme emri kullandı. ABD’li yetkililer, botnet’in Çinli saldırganlara kritik altyapıya kalıcı erişim sağlamak için tasarlandığını söyledi. Trafiğinin bu ağ geçitleri üzerinden yönlendirilmesi, kamu hizmetlerine ve diğer hedeflere ulaşmaya yönelik kötü niyetli girişimlerin gerçek kaynağını gizleyecektir.
Mayıs 2023’te Microsoft, Volt Typhoon’un gizli ve hedefli kötü amaçlı etkinliğini ortaya çıkardı. Etkinlik, Amerika Birleşik Devletleri’ndeki kritik altyapı kuruluşlarını hedefleyen, uzlaşma sonrası kimlik bilgisi erişimi ve ağ sistemi keşfine odaklandı.
Jen Easterly’nin CISA yöneticisinin bunu Temsilciler Meclisi Seçim Komitesi önündeki duruşmada ifade ettiği gibi
“Çin’in ABD’nin kritik altyapısını hedeflemesinde derinden endişe verici bir gelişme gördük. Yıkıcı saldırıları mümkün kılmak için kritik altyapının derinliklerine indiklerini gördük. Bu, dünya genelindeki bir krizin buradaki Amerikalıların hayatlarını tehlikeye atabileceği bir dünya.”
Ve bu sadece ABD değil. Hollanda Askeri İstihbarat Servisi (MIVD), ağlarından birinde Çin kötü amaçlı yazılımı olarak tanımladığı bir Uzaktan Erişim Truva Atı (RAT) buldu.
Ancak Toprağın Yaşaması (LOTL) kılavuzu yalnızca Çin devlet aktörlerine odaklanmıyor. Aynı zamanda Rusya Federasyonu devlet destekli aktörler tarafından uygulanan yöntemleri de içeriyor ve muhtemelen tespitten kaçınmak için meşru araçlardan yararlanan Hizmet Olarak Fidye Yazılımı (RaaS) çeteleri için de geçerli olacak.
Bu nedenle, meşru araçların şüpheli kullanımı, olağandışı ağ bağlantıları ve diğer kötü amaçlı etkinlik belirtileri söz konusu olduğunda şirket içi veya yönetilen (MDR) siber güvenlik ekibinizin nelere dikkat etmesi gerektiğini bilmek önemlidir.
Kılavuz LOTL’nin özellikle etkili olduğunu şart koşuyor çünkü:
- Pek çok kuruluş, kötü amaçlı LOTL etkinliğinin tespitini destekleyen etkili güvenlik ve ağ yönetimi uygulamalarından (yerleşik temeller gibi) yoksundur; bu, ağ savunucularının meşru davranışı kötü niyetli davranıştan ayırt etmesini ve davranış analizi, anormallik tespiti ve proaktif avcılık yürütmesini zorlaştırır.
- Faaliyetle ilişkili geleneksel güvenlik ihlali göstergelerinin (IOC’ler) genel olarak eksikliği, ağ savunucularının kötü niyetli davranışları tanımlama, izleme ve sınıflandırma çabalarını karmaşık hale getiriyor.
- Siber tehdit aktörlerinin özel araçların geliştirilmesine ve dağıtımına yatırım yapmaktan kaçınmasını sağlar.
Bu nedenle, tespit etme ve sağlamlaştırmaya yönelik tamamı ayrıntılı olarak açıklanan bazı en iyi uygulamaları sağlar.
- Saldırganların günlükleri değiştirmesi veya silmesi riskini önlemek için bir kez yazma ve birçok ayrıntılı günlüğü okuma işlemini uygulayın.
- Ağ, kullanıcı, yönetim ve uygulama etkinliğinin temellerini ve en az ayrıcalık kısıtlamalarını oluşturun ve sürekli olarak sürdürün.
- Mevcut etkinlikleri yerleşik davranışsal temellerle karşılaştırmak ve belirli anormallikler konusunda uyarı vermek üzere tüm günlükleri sürekli olarak incelemek için otomasyon oluşturun veya edinin.
- Öncelik (aciliyet ve önem derecesi) yoluyla ince ayar yaparak ve trend olan etkinliğe göre tespitleri sürekli olarak gözden geçirerek uyarı gürültüsünü azaltın.
- Anormal ve potansiyel olarak tehlikeli kullanıcı ve cihaz davranışını belirlemek için kullanıcı ve varlık davranışı analizlerinden yararlanın.
- Güvenliğin güçlendirilmesi için satıcının önerdiği kılavuzu uygulayın ve başvurun.
- Uygulama izin verilenler listesine eklemeyi uygulayın ve ortak LOTL ikili dosyalarının (LOLBin’ler) kullanımını izleyin.
- BT ve OT ağ bölümlemesini ve izlemeyi geliştirin.
- Ağ konumundan bağımsız olarak tüm insan-yazılım ve yazılım-yazılım etkileşimleri için kimlik doğrulama ve yetkilendirme kontrolleri uygulayın.
LOTL faaliyetlerinin bağlamını anlamak, doğru tespit ve yanıt için çok önemlidir. Malwarebytes’in fidye yazılımlarından kaçınmak için sağladığı ipuçlarının çoğu, devlet destekli saldırılarda da yararlı olacaktır; ancak ikincisi bazı durumlarda daha da hedefli olabilir.
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde düzeltmek için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin.
- İzinsiz girişleri önleyin. Tehditleri, uç noktalarınıza sızmadan veya onları etkilemeden önce durdurun. Fidye yazılımı dağıtmak için kullanılan kötüye kullanımları ve kötü amaçlı yazılımları önleyebilecek uç nokta güvenlik yazılımı kullanın.
- İzinsiz girişleri tespit edin. Ağları bölümlere ayırarak ve erişim haklarını ihtiyatlı bir şekilde atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı meydana gelmeden önce olağandışı etkinlikleri tespit etmek için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını tanımlamak için birden fazla farklı algılama tekniği ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımını geri alma tekniği kullanan ThreatDown EDR gibi Uç Nokta Tespit ve Yanıt yazılımını kullanın.
- Tesis dışında, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri saldırganların erişemeyeceği bir yerde ve çevrimdışı olarak saklayın. Temel iş işlevlerini hızlı bir şekilde geri yükleyebileceğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğramayın. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların, kötü amaçlı yazılımlarının, araçlarının ve giriş yöntemlerinin tüm izlerini kaldırmalısınız.
Ayrıca CISA, yazılım üreticilerini yazılımlarında tasarım gereği güvenli kurallar uygulamaya, zayıf varsayılan yapılandırmaların ve parolaların yaygınlığını azaltmaya, düşük maliyetli veya ücretsiz geliştirilmiş günlük kaydına olan ihtiyacın farkına varmaya ve kılavuzda tanımlanan diğer istismar edilebilir sorunlara teşvik eder.
Güvenli olmayan yazılım, tehdit aktörlerinin LOTL tekniklerini etkinleştirmek için kusurlardan yararlanmasına olanak tanır ve sorumluluk yalnızca son kullanıcıya ait olmamalıdır. Yazılım üreticileri, tasarım gereği güvenli ilkelerini kullanarak, müşterilerin yapılandırma değişiklikleri yapmak, güvenlik yazılımı ve günlükleri satın almak, izlemek ve rutin güncellemeler yapmak için ek kaynak harcamasına gerek kalmadan, ürün gruplarını kullanıma hazır güvenli hale getirebilirler.
Karadan Yaşamak, 2024 Kötü Amaçlı Yazılımların Durumu raporumuzda ele alınan, kaynakları kısıtlı BT ekiplerinin 2024’te mücadele etmeye hazır olması gereken altı siber tehditten biridir.
İş çözümlerimiz, fidye yazılımının tüm kalıntılarını ortadan kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.