Picus Security, avcı-öldürücü kötü amaçlı yazılımlarda bir artış olduğunu ortaya çıkardı ve düşmanların yeni nesil güvenlik duvarları, antivirüs programları ve EDR sistemleri de dahil olmak üzere gelişmiş kurumsal savunmaları tespit etme ve engelleme yeteneklerindeki önemli değişimi vurguladı.
Savunma sistemlerini devre dışı bırakmak amacıyla aktif olarak hedef alabilen kötü amaçlı yazılımlarda %333’lük bir artış oldu.
Avcı-öldürücü kötü amaçlı yazılımın tanımlanması
Avcı-katil denizaltıların gizli ve saldırgan doğasından paralellikler kuran bu kötü amaçlı yazılım türleri, güvenlik önlemlerinden hassas bir şekilde kaçar ve proaktif olarak güvenlik araçlarını, güvenlik duvarlarını, kayıt hizmetlerini, denetim sistemlerini ve virüs bulaşmış bir sistem içindeki diğer koruyucu önlemleri arar ve bunlara zarar verir. Bu nedenle, avcı-öldürücü kötü amaçlı yazılım, yalnızca kaçırmayla değil, savunma sistemlerine yönelik hedefli saldırılarıyla da karakterize edilir; bu, bir denizaltının önleyici saldırısına benzer şekilde, bir uyarı duyulmadan önce savunmayı devre dışı bırakır. Bunu yaparak, tehlikeye atılan ortamın sürekli olarak kullanılması ve kontrol edilmesi için yolu açarlar.
Avcı-öldürücü kötü amaçlı yazılımların belirlenmesi, siber tehditlerde önemli bir artışa işaret ediyor. Bu gelişmiş kötü amaçlı yazılımlar, gizli operasyonları güvenlik kontrollerine yönelik agresif saldırılarla harmanlayarak kapsamlı saldırı kampanyaları yürütüyor ve bu da kurumsal siber savunma çabaları için üst düzey bir zorluk teşkil ediyor.
Picus Labs Başkan Yardımcısı Dr. Süleyman Özarslan, “Avcı-öldürücü denizaltıların özelliklerini paylaşan, son derece kaçamak, son derece agresif kötü amaçlı yazılımlarda bir artışa tanık oluyoruz” dedi.
“Tıpkı bu denizaltıların derin sularda sessizce hareket etmesi ve hedeflerinin savunmasını kırmak için yıkıcı saldırılar başlatması gibi, yeni kötü amaçlı yazılımlar da yalnızca güvenlik araçlarından kaçmak için değil, aynı zamanda onları etkin bir şekilde çökertmek için de tasarlandı. Siber suçluların, ortalama işletmelerin güvenliğinin büyük ölçüde iyileştirilmesine ve tehditleri tespit etmek için çok daha gelişmiş yetenekler sunan yaygın olarak kullanılan araçlara yanıt olarak taktik değiştirdiğine inanıyoruz. Bir yıl önce, saldırganların güvenlik kontrollerini devre dışı bırakması nispeten nadirdi. Artık bu davranış, kötü amaçlı yazılım örneklerinin dörtte birinde görülüyor ve neredeyse her fidye yazılımı grubu ve APT grubu tarafından kullanılıyor” diye devam etti Özarslan.
Gelişen taktikler, tespit ve müdahaleyi zorlaştırıyor
Siber savunmaların teorik olarak sağlam ve pratik olarak etkili olmasını sağlamak için güvenlik ekiplerinin bu karmaşık tehditleri önleme, tespit etme ve bunlara yanıt verme hazırlıklarını sürekli olarak test etmek ve optimize etmek için güvenlik doğrulamasını benimsemesi gerekir. Buna ek olarak, davranış analizi ve makine öğreniminden yararlanan güvenlik ekipleri, modern tehditlerin avcı-öldürücü bileşenlerini öngörmek ve etkisiz hale getirmek için savunmaları daha iyi konumlandırabilir.
Analiz edilen kötü amaçlı yazılımların %70’i artık saldırganlar tarafından, özellikle de güvenlik önlemlerinden kaçmayı ve ağlarda kalıcılığı sürdürmeyi kolaylaştıran gizlilik odaklı teknikler kullanıyor. Analiz edilen tüm kötü amaçlı yazılımların neredeyse üçte biri, meşru süreçlere kötü amaçlı kod enjekte ederek, saldırganların tespit edilmekten kaçınmasına ve potansiyel olarak yüksek ayrıcalıklar elde etmesine olanak tanıyor.
T1027 Gizlenmiş Dosya veya Bilgilerin kullanımında %150 artış oldu. Bu durum, güvenlik çözümlerinin etkinliğini engellemeye ve saldırıların tespitini, adli analizleri ve olaya müdahale çabalarını zorlaştırmak için kötü niyetli etkinlikleri gizlemeye yönelik bir eğilimi vurgulamaktadır.
2024’ün kötü amaçlı yazılım trendlerinin ilerisinde kalmak
Gelişmiş çift gasp planlarının bir parçası olarak veri hırsızlığı için stratejik olarak kullanılan T1071 Uygulama Katmanı Protokolü’nün kullanımında %176’lık bir artış oldu.
Avcı-öldürücü kötü amaçlı yazılımlarla mücadele etmek ve 2024 kötü amaçlı yazılım trendlerinin önünde kalmak için Picus, kuruluşları makine öğrenimini benimsemeye, kullanıcı kimlik bilgilerini korumaya ve siber suçlular tarafından kullanılan en son taktik ve tekniklere karşı savunmalarını tutarlı bir şekilde doğrulamaya çağırıyor.
Picus Security Güvenlik Araştırma Lideri Hüseyin Can Yüceel, “Bir saldırının güvenlik araçlarını devre dışı bırakıp bırakmadığını veya yeniden yapılandırdığını tespit etmek inanılmaz derecede zor olabilir çünkü bunlar hâlâ beklendiği gibi çalışıyor gibi görünebilir” dedi.
“Aksi takdirde radar altında çalışacak olan saldırıların önlenmesi, derinlemesine savunma yaklaşımıyla birden fazla güvenlik kontrolünün kullanılmasını gerektirir. Güvenlik doğrulaması, kuruluşların hazırlık durumlarını daha iyi anlamaları ve boşlukları belirlemeleri için bir başlangıç noktası olmalıdır. Bir kuruluş, EDR, XDR, SIEM ve avcı-öldürücü kötü amaçlı yazılımlar tarafından zayıflatılabilecek veya ortadan kaldırılabilecek diğer savunma sistemlerinin tepkisini değerlendirmek için proaktif olarak saldırı simülasyonu yapmadığı sürece, çok geç olana kadar kapalı olduklarını bilemeyecekler.” sonucuna vardı.