Picus Security’nin gerçek dünyadaki 550.000’den fazla kötü amaçlı yazılım örneği analizinin sonuçlarına göre, siber öldürme zinciri boyunca kötü amaçlı eylemler gerçekleştirebilen ve güvenlik kontrolleri tarafından tespit edilmekten kaçabilen çok amaçlı kötü amaçlı yazılım olan “İsviçre Çakısı” kötü amaçlı yazılımı yükselişte ticari ve açık kaynaklı tehdit istihbarat servislerinden, güvenlik satıcılarından ve araştırmacılarından ve kötü amaçlı yazılım sanal alanlarından ve veritabanlarından toplanır.
Önemli bulgular
Şirketin araştırmacıları, kötü amaçlı yazılımın davranışını gözlemleyerek 5 milyondan fazla kötü amaçlı eylem çıkardı ve bu verileri, 2022’de siber suçlular tarafından kullanılan en yaygın on ATT&CK tekniğini belirlemek için kullandı.
En yaygın teknikle başlayan liste şunları içerir:
- İsteğe bağlı kod çalıştırmak için komut ve komut dosyası yorumlayıcılarının kullanımı
- Güvenliği ihlal edilmiş sistemin işletim sistemi ve yardımcı programlarından kimlik bilgilerinin dökümü
- Veri şifreleme
- Kötü amaçlı kodun meşru süreçlere enjeksiyonu (DLL enjeksiyonu, iş parçacığı yürütme kaçırma, işlem boşaltma vb.)
- Bilgisayar sistemleri veya ağları hakkında veri toplanması (yanal hareketi kolaylaştırmak için)
- Erişim ve kontrol için uzak servislerin (örn. RDP, SSH, VNC, vb.) kullanımı
- Güvenliği ihlal edilmiş Windows ana bilgisayarlarında kötü amaçlı komutları ve yükleri yürütmek için Windows Yönetim Araçları’nın kötüye kullanılması
- Zamanlanmış görevlerin/işlerin kullanımı
- Sanallaştırma önleme ve korumalı alan önleme özellikleri
- Uzak ana bilgisayarların ve ağların keşfi
Analiz şunu göstermiştir:
- Ortalama bir kötü amaçlı yazılım, 11 farklı taktik, teknik ve prosedürden (TTP) yararlanır. Kötü amaçlı yazılımların üçte biri (%32) 20’den fazla TTP’den ve onda biri 30’dan fazla TTP’den yararlanıyor
- Command and Scripting Interpreter, kötü amaçlı yazılım örneklerinin yaklaşık üçte biri tarafından sergilenen en yaygın ATT&CK tekniğidir. Remote System Discovery ve Remote Services’ın şirketin Red Report’unda ilk kez yer alması, kötü amaçlı yazılımın artık tespitten kaçmak için işletim sistemlerindeki yerleşik araçları ve protokolleri ne ölçüde kötüye kullandığının bir başka kanıtıdır.
- Tanımlanan en yaygın 10 ATT&CK tekniğinden dördü, kurumsal ağlar içinde yanal harekete yardımcı olmak için kullanılır.
- Tüm kötü amaçlı yazılımların dörtte biri, verileri şifreleme yeteneğine sahiptir ve bu da fidye yazılımının devam eden tehdidini vurgular.
En son kötü amaçlı yazılımın çok yönlülüğü, Picus Labs tarafından analiz edilen toplam örneğin üçte birinin 20’den fazla ayrı TTP gösterebilmesi gerçeğiyle kanıtlanmıştır. Kötü amaçlı yazılımlar, meşru yazılımları kötüye kullanabilir, yanal hareket gerçekleştirebilir ve dosyaları şifreleyebilir. Artan karmaşıklığı, muhtemelen iyi finanse edilen fidye yazılımı sendikalarının kapsamlı kaynakları ve savunucular tarafından kullanılan davranışa dayalı algılama yöntemlerindeki ilerlemelerden kaynaklanmaktadır.
Gelecek çok amaçlı kötü amaçlı yazılımdır
Picus Labs Başkan Yardımcısı Dr. Süleyman Özarslan, “Modern kötü amaçlı yazılımların birçok biçimi olabilir” dedi. “Bazı ilkel kötü amaçlı yazılım türleri, temel işlevleri yerine getirmek için tasarlanmıştır. Bir cerrahın neşteri gibi diğerleri, tek görevleri büyük bir hassasiyetle yürütmek üzere tasarlanmıştır. Artık her şeyi yapabilen daha fazla kötü amaçlı yazılım görüyoruz. Bu ‘İsviçre Çakısı’ kötü amaçlı yazılımı, saldırganların ağlarda tespit edilmeden yüksek hızda hareket etmelerine, kritik sistemlere erişmek için kimlik bilgileri elde etmelerine ve verileri şifrelemelerine olanak sağlayabilir.”
“Fidye yazılımı operatörlerinin ve benzer şekilde ulus-devlet aktörlerinin amacı, bir hedefe olabildiğince hızlı ve verimli bir şekilde ulaşmaktır” diye devam etti. “Daha fazla kötü amaçlı yazılımın yanal hareket gerçekleştirebilmesi, her türden rakibin BT ortamlarındaki farklılıklara uyum sağlamaya ve maaşlarını almak için daha çok çalışmaya zorlandıklarının bir işareti.”
“Gittikçe karmaşıklaşan kötü amaçlı yazılımlara karşı savunma yapmakla karşı karşıya kalan güvenlik ekiplerinin de yaklaşımlarını geliştirmeye devam etmesi gerekiyor. Yaygın olarak kullanılan saldırı tekniklerine öncelik vererek ve güvenlik kontrollerinin etkinliğini sürekli olarak doğrulayarak, kuruluşlar kritik varlıkları savunmaya çok daha hazırlıklı olacaktır. Ayrıca dikkatlerinin ve kaynaklarının en büyük etkiyi yaratacak alanlara odaklanmasını sağlayabilecekler.”