İyi araçlar kötü gitti.
Aylık fidye yazılımı incelememizin düzenli okuyucuları (Nisan sayımızı buradan okuyun), Hizmet Olarak Fidye Yazılımı (RaaS) çetelerinin kuruluşlara yönelik yıkıcı saldırılarıyla dünya çapında manşetlere çıktığını biliyor.
Bazen, yine de, sadece sorunu bilmek yeterli değildir.
Kendimizi RaaS çetelerinden gerçekten korumak için, tabiri caizse ‘soğanı soymamız’ ve tam olarak nasıl davrandıklarına daha yakından bakmamız gerekiyor. Örneğin, RaaS çetelerinin bir ağda tespit edilmekten nasıl kaçtığını bilirsek, herhangi bir zarar vermeden önce onları dışarı atabiliriz.
RaaS çetelerinden gözlemlediğimiz en ilgili davranışlardan biri, Saldırganların tespitten kaçmak, veri çalmak ve daha fazlası için meşru araçlardan yararlandığı Karadan Uzakta Yaşamak (LOTL) saldırıları.
RaaS operasyonlarında LOTL saldırılarının tehlikelerini inceleyelim ve bu tür tehditleri nasıl tespit edip engelleyebilecekleri konusunda yetersiz kaynaklara sahip BT ekiplerine rehberlik edelim.
LOTL saldırılarının aldatıcı doğası
İdeal bir dünyada, kuruluşları saldırı altında olan BT ekipleri, kötü niyetli faaliyete ilişkin açık ve doğrudan kanıtlara sahip olacaktır.
Örneğin, bilinen kötü niyetli kişilerle ilişkili uzak IP adreslerine olağandışı ağ bağlantıları yapılıyorsa, saldırı altında olduğunuza şüphe yoktur; bu da BT’nin davranışı erkenden durdurmasını sağlar.
Ancak şimdi, herhangi bir şüpheli etkinlik belirtisi için bir ağı özenle izlediğinizi hayal edin. Sonsuz gibi görünen bir günlük akışını tararken, soruna işaret edebilecek herhangi bir anormalliği ararken, çok yönlü ve meşru bir komut dosyası oluşturma aracı olan PowerShell’de bazı etkinlikler fark edersiniz.
Komut Dosyası Blok Günlüğü, PowerShell tarafından yürütülen tüm kod bloklarını kaydeder, bu da şüpheli etkinliğe işaret etmenize neden olabilir. Kaynak.
Yani, var bir saldırganın kullandığı komutları kullanan komut dosyaları abilir şirketin ağından veri çalmak için kullanın, ancak BT uzmanları tarafından çeşitli sistem yönetimi görevleri için kullanılan meşru yönetim görevlerine de benziyordu. Normal çalışma saatleri olduğunu düşünürsek, bunun rutin bir BT bakım operasyonunun parçası olduğunu anlar ve yolunuza devam edersiniz.
Ama bakalım, her zaman bir RaaS çetesiydi!
Saldırgan, şirketin ortamını incelemiş ve çalışanlar tarafından tipik olarak kullanılan araçlar ve süreçler hakkında derin bir anlayışa sahipti ve bu nedenle, tipik PowerShell kullanımıyla harmanlanarak şüphe uyandırmaktan kaçınmayı başardı. Saldırganlar, saldırıyı normal iş saatlerinde gerçekleştirerek, gece geç saatlerde bir ağda hareket etmekten kaynaklanan olağan incelemelerden de kaçındı.
LOTL saldırılarının bu kadar tehlikeli olmasının nedeni tam olarak budur: LOTL saldırıları, normal davranışı taklit ederek BT ekiplerinin ve güvenlik çözümlerinin herhangi bir kötü niyetli etkinlik belirtisini algılamasını son derece zorlaştırır. Bununla birlikte, deneyimli analistler, uzmanlıklarından ve sistem davranışlarına ilişkin derin anlayışlarından yararlanarak, bir LOTL saldırısına işaret eden incelikli anormallikleri veya kalıpları yakalayabilirler.
Öte yandan, yeni veya yetersiz kaynaklara sahip ekipler, deneyim eksikliği veya yetersiz araçlar nedeniyle bu tür saldırıları tespit etmekte zorlanabilir ve bu da onları bu sinsi tehditlere karşı savunmasız bırakabilir.
Fidye yazılımı çeteleri tarafından kullanılan 5 LOTL aracı
Saldırganlar, LOTL saldırıları için görünüşte sayısız meşru araç kullansa da, aşağıda en aktif fidye yazılımı çetelerinin saldırıları için kullandıklarını gördüğümüz en yaygın beş tanesini bulabilirsiniz.
| Alet | İçin kullanılır | Eskiden | Tarafından kullanılan |
|---|---|---|---|
| Güç kalkanı | Windows sistemleri için çok yönlü betik dili ve kabuk çerçevesi | Kötü amaçlı komut dosyalarını yürütün, kalıcılığı koruyun ve tespit edilmekten kaçının | LockBit, Vice Society, Royal, BianLian, ALPHV, Black Basta |
| PsExec | Uzak sistemlerde işlemleri yürütmek için hafif komut satırı aracı | Geçici bir Windows hizmeti aracılığıyla komutları veya yükleri yürütün | LockBit, Royal, ALPHV, Oynat, BlackByte |
| WMI | Windows sistem bileşenlerine erişmek ve bunları yönetmek için yönetici özelliği | Kötü amaçlı komutları ve yükleri uzaktan yürütün | LockBit, Vice Society, Black Basta, Dark Power, Cl0p, BianLian |
| mimikatz | Windows güvenliği ve kimlik bilgisi yönetimi için açık kaynak aracı | Kimlik bilgilerini bellekten çıkarın ve ayrıcalık yükseltmesi gerçekleştirin | LockBit, Kara Basta, Küba, ALPHV |
| kobalt saldırısı | Ağ güvenliğini değerlendirmek ve gelişmiş tehdit aktörü taktiklerini simüle etmek için ticari kalem testi | Komuta ve kontrol, yanal hareket ve hassas verilerin sızdırılması | LockBit, Black Basta, Royal, ALPHV, Play, Küba, Vice Society |
Yine, aylık fidye yazılımı incelememizin okuyucuları, burada listelenen her çetenin yıllık fidye yazılımı saldırılarında aslan payından sorumlu olduğunu anlayacaktır.
Örneğin LockBit, bir sonraki en aktif fidye yazılımı olan ALPHV’den 3 kat daha fazla saldırıdan sorumlu olarak 2023 Kötü Amaçlı Yazılım Durumu Raporumuzu zirveye çıkardı. Yalnızca Şubat 2023’te LockBit grubu, sızıntı sayfasında 126 kurban belirledi.
Vice Society ise İngiltere’deki eğitim kurumlarına yönelik bilinen saldırıların yüzde 70’inden sorumlu.
BT ekipleri için tavsiyeler
En son teknoloji ve benzersiz uzmanlığın bir araya geldiği aşağıda listelenen dört ipucu, BT ekiplerinin LOTL saldırılarını ortaya çıkarmasına büyük ölçüde yardımcı olabilir:
1. Ağ trafiğini ve günlükleri düzenli olarak izleyin
- Ağ trafiğinizi, Chisel, Qakbot veya Cobalt Strike gibi araçların kullanımıyla ilişkili bilinen kötü amaçlı IP adreslerine veya etki alanlarına yönelik olağandışı modeller veya bağlantılar için düzenli olarak analiz edin.
- Kritik sistemlerde (güvenlik duvarları, sunucular ve uç nokta cihazları) günlüğe kaydetmeyi etkinleştirin ve olağandışı etkinlikler veya güvenlik ihlali belirtileri için günlükleri düzenli olarak inceleyin.
2. En son tehdit istihbaratından haberdar olun
- Yeni saldırı teknikleri, uzlaşma göstergeleri (IOC’ler) ve diğer ilgili tehdit verileri hakkında bilgi sahibi olmak için tehdit istihbaratı akışlarından yararlanın.
- LOTL saldırılarını belirlemek ve azaltmak amacıyla güvenlik izleme, algılama ve yanıtlama yeteneklerinizde ince ayar yapmak için bu verileri kullanın.
3. Davranış analizinden ve anormallik tespitinden yararlanın
- Yalnızca bilinen imzalara veya kalıplara güvenmek yerine olağandışı kullanıcı veya sistem davranışını tespit etmeye odaklanan gelişmiş izleme araçları uygulayın.
- Devam eden bir LOTL saldırısına işaret edebilecek normal davranıştan sapmaları belirlemek için makine öğrenimi ve yapay zekadan yararlanılabilir.
Malwarebytes EDR, sapmaları arayan buluşsal bir algoritma kullanarak uç noktadaki süreçlerin, kayıt defterinin, dosya sisteminin ve ağ etkinliğinin davranışlarını gözlemler. Burada, şüpheli etkinlikte tetiklenen tüm algılama kurallarını ve bunların MITRE ATT&CK ile eşlenmesini görebilirsiniz.
4. Meşru araçların kötüye kullanımını sınırlayın
- LOTL saldırılarında sıklıkla kullanılan yasal araçların ve sistem özelliklerinin kullanımını yönetmeye ve kontrol etmeye odaklanın.
- Belirli araçlara erişimi yalnızca onlara ihtiyaç duyan kullanıcılarla sınırlayın, kullanımlarını izleyin ve potansiyel olarak zararlı eylemleri kısıtlamak için belirli güvenlik politikaları uygulayın.
Kısacası, BT ekipleri ağ ve sistem verilerini sürekli analiz ederek, potansiyel zayıf noktaları belirleyerek ve saldırgan taktikleri önceden tahmin ederek LOTL tekniklerini kullanan RaaS çetelerine karşı üstünlük sağlamaya başlayabilir.
Kuruluşunuz için 7×24 güvenlik izleme ve tehdit avı
Ağ trafiğini izlemek, günlükleri etkinleştirmek ve gözden geçirmek, anormallik tespitini kontrol etmek ve uygulama kontrolünü uygulamak, kötü niyetli etkinliği tespit etmek ve engellemek için gerekli adımlardır. Ancak, bu çabalar genellikle 24 saat kapsama alanı ve derin siber güvenlik uzmanlığı gerektirir ki bu da küçük ve orta ölçekli kuruluşlar için sürdürmesi zor olabilir.
Malwarebytes Tarafından Yönetilen Algılama ve Yanıtın (MDR) devreye girdiği yer burasıdır.
gizli tehditleri durdur
Malwarebytes MDR analistleri, yasal araçların kötü niyetli kullanımını tespit etme ve saldırganları engelleme konusunda deneyimlidir. RaaS çeteleri tarafından gerçekleştirilen LOTL saldırılarıyla ilgili olarak olağandışı kalıpları veya kötü niyetli IP adreslerine, etki alanlarına veya yetkisiz uygulama kullanımına yönelik bağlantıları belirlemek için uzmanlıklarını kullanırlar.
Malwarebytes MDR ile ortaklık kuran işletmeler, güvenlik uzmanlarından oluşan yetenekli bir ekibin potansiyel tehditleri proaktif olarak tespit etmek ve bunlara yanıt vermek için 7x24x365 çalıştığını bilerek güvenlik duruşlarını geliştirebilir ve içiniz rahat edebilir. Aşağıda daha fazla MDR kaynağı bulun!