Tehditleri Tespit Etmekten Zengin İmza Verileri Toplamaya Kadar — Korumalı Alanlar, Kötü Amaçlı Yazılım Araştırmacılarının Savunma Sistemlerini Gelişen Tehdit Ortamıyla Uyumlu Tutmalarına Yardımcı Olur.
Jack Zalesskiy, Teknoloji Yazarı, ANY.RUN
Yalnızca 2022’nin ilk yarısında, geçen yılın aynı dönemine göre yüzde 45 artışla 270.000’den fazla yeni kötü amaçlı yazılım çeşidi tespit edildi. Sıfır gün veya sıfır saat kötü amaçlı yazılımları olarak bilinen, önceden tanımlanamayan bu türler, düşmanların güvenlik sistemlerimize fırlatabilecekleri en öngörülemez eğri toplar arasındadır. Doğru koşullar altında, tamamen durdurulamaz hale bile gelebilirler.
Bunun nedeni, siber tehditleri otomatik olarak savuşturmak için kullandığımız araçlar olan güvenlik duvarlarının, uç nokta koruma platformlarının (EPP) ve izinsiz giriş tespit ve önleme sistemlerinin (IDPS) kötü niyetli olarak algıladıkları şeyleri zararsızlardan nasıl ayırdıklarıdır.
Bu sistemler ağırlıklı olarak imza tabanlıdır. AI ve davranışa dayalı algılamayı antivirüs yazılımına dahil etme konusunda ilerlemeler olsa da, teknoloji henüz tamamen güvenilir değil. Sonuç olarak, bu sistemler dosyaları bilinen hash’ler, statik modeller veya davranışsal modeller için incelemeye ve bunları tehdit veritabanlarındaki yerleşik imzalarla karşılaştırmaya dayanır.
Peki ya bir veritabanına henüz bir imza eklenmemişse? İşte o zaman kötü amaçlı yazılımların savunmaları delme şansı olur.
Sıfır gün güvenlik açıklarından yararlanan yeni veya değiştirilmiş kötü amaçlı yazılımları içeren olaylar en ünlüleri arasındadır: 2014’te Sony fotoğraf ihlali, 2011’de RSA’ya saldırı, 20 yüksek profilli kuruluşu ateş hattına sokan Aurora Operasyonu. Daha yakın tarihli olaylar arasında General Bytes’a yapılan bir saldırı ve Windows kullanıcılarına yönelik bir fidye yazılımı olan Magniber’ı içeren bir kimlik avı kampanyası yer alıyor.
Bu durum, savunma ekibinin başarısının potansiyel bir enfeksiyon oluşmadan önce yeni imzalar belirlemeye bağlı olduğu bir paradigma yaratır. Kısmen bu, düşmanlar ve güvenlik uzmanları arasında devam eden silahlanma yarışını ve geçen yıl gördüğümüz yeni kötü amaçlı yazılım türevlerindeki artışı körükleyen şeydir.
Bir güvenlik sisteminde korumalı alan
Uç nokta algılama sistemlerini izinsiz girişler hakkında sizi uyaran alarmlar olarak hayal ederseniz, sanal alan bir yalan dedektörü, suç laboratuvarı ve adli tıp sanatçısı gibidir. Araştırmacılara kötü amaçlı yazılımları analiz etmenin, Tehlike Göstergelerini (IOC’ler) toplamanın ve bunları bir kuruluşun koruyucu bariyerini oluşturan çeşitli son nokta algılama ürünlerine eklemenin daha hızlı bir yolunu sunar.
Korumalı alan, özünde, gerçek bir işletim sistemini taklit etmek için tasarlanmış, özel olarak yapılandırılmış bir izleme ortamıdır. Araştırmacılar, ana makineyi tehlikeye atmadan kötü amaçlı yazılımları patlatmak ve gözlemlemek için kullanıyor. Korumalı alanlar, imza tabanlı algılamanın yetersiz kaldığı durumlarda tehditleri etkili bir şekilde belirlemek için yapay zeka, makine öğrenimi, buluşsal tabanlı ve davranış tabanlı algılamanın yanı sıra manuel ince ayar ve her satıcıya özel tescilli tekniklerin bir kombinasyonunu kullanır.
Giderek daha karmaşık hale gelen kötü amaçlı yazılımlarla boğuşurken, son yıllarda sanal alanlarda bir patlama oldu. Sanallaştırılmış ortamlardan ve bulut hizmetlerinden, son kullanıcıların donanım yapılandırmalarını taklit eden şirket içi sunucu raflarına kadar çeşitlilik gösterirler.
Güvenlik duvarlarının savunma ağının en ucunda olduğunu düşünürseniz, veri kaybı önleme sistemleri gibi araçlar kuruluşun çekirdeğine yakın dururken, sanal alanlar ortada bir yere sığar.
Araştırmacılar şüpheli nesnelerle karşılaştığında ve kötü amaçlı yazılım yapılandırmalarını çıkarmak için bunları incelemeleri gerektiğinde devreye girerler. Korumalı alanlar ayrıca kötü amaçlı yazılım algılama ve olay müdahalesine yardımcı olabilir, ancak bu alanlardaki uygulamaları daha duruma bağlıdır.
Bir örneği (genellikle şüpheli bir dosya veya bağlantı) işledikten sonra, korumalı alan kararını atar (kötü niyetli veya değil) ve zengin analiz verilerini görüntüler: C2 adresleri ve dosya karmaları gibi dizeler. Ardından, uç nokta algılama programlarını yapılandırmak için manuel olarak daha derine inmek veya analiz çıktısından elde edilen imzaları kullanmak arasında karar vermek analiste kalmıştır.
Korumalı alan oluşturma, yine de eğitimli bir güvenlik araştırmacısının denetimini gerektirir, ancak sonuç elde etmek için gereken süreyi önemli ölçüde azaltabilir. Hatta küçük, orta düzey veya daha geniş kapsamlı güvenlik uzmanlarının, normalde üst düzey bir kötü amaçlı yazılım araştırmacısını dahil etmesi gereken bir görevi tamamlamasını sağlayabilir.
Yeni tehditleri analiz etmenin, imzaları ayıklamanın ve uç nokta tespitini güçlendirmenin bu sürekli döngüsü sayesinde, bir kuruluşun güvenlik çevresi ortaya çıkan tehditlere karşı sağlamlaşır.
Sandbox Sınırlamaları
Korumalı alanlar, kötü amaçlı yazılım analizini hızlandırmada inanılmaz derecede yardımcı olsa da, yanılmaz değildirler. Korumalı alanlar, süreçleri kötü amaçlı etkinlik belirtilerine karşı denetlemek için, kötü amaçlı yazılımın gözlemlendiği gerçeğine dair ipucu verebilecek eserler bırakan izleme kancaları kullanır. Günümüzde çoğu kötü amaçlı yazılım, bir sanal alanda çalıştığını algıladığında, ya yürütmeyi durdurur ya da bunun yerine zararsız bir eylem gerçekleştirir.
Kaçırmaya karşı diğer teknikler, bilinen korumalı alan satıcılarının adlarını içeren dosyalar için yürütme ortamını taramayı, yürütme zaman aşımını ayarlamayı veya kötü amaçlı yazılım tetiklenmeden önce kullanıcı girdisini beklemeyi içerir.
Bazı sanal alanlar, müdahaleci olmayan izleme teknikleri kullanarak kullanıcı eylemlerini taklit ederek (bir imleci hareket ettirmek ve belgelere tıklamak gibi) kaçırma önleme tekniklerine karşı koyarken, diğerleri yürütme akışının kontrolünü araştırmacıya geri verir.
Çoğu sanal alanda iş akışı, VM ortamını yapılandırmanız, çalıştır düğmesine basmanız ve sonuçları beklemeniz şeklindedir. Kötü amaçlı yazılım, simülasyonun ortasında sanal alanı algılarsa diskten kendini silmeye, yürütmeyi sonlandırmaya veya kötü niyetli eylemleri gizlemeye çalışabilir ve bunu önlemek için yapabileceğiniz hiçbir şey yoktur.
Ancak etkileşimli bir sanal alanda, araştırmacılar genellikle kötü amaçlı yazılımı tetikleyecek eylemler gerçekleştirerek simülasyonu kontrol edebilirler. Kullanıcının bakış açısından, simülasyon süreci standart bir sanal makine kullanmaya benzer. Ancak perde arkasında, korumalı alan davranışsal eserler toplamaya devam ediyor. Şu anda, simülasyonu kötü amaçlı yazılım analizi için kurulmuş fiziksel bir sistemde, gerçekten bir kurulum zahmetine girmeden çalıştırmaya en yakın sistem budur.
Bir güvenlik sisteminin önemli bir parçası
Tehdit ortamı geliştikçe ANY.RUN gibi sanal alanlar, siber güvenlik profesyonellerinin cephaneliğinde çok önemli hale geldi. Kötü amaçlı yazılımları analiz etmek, değerli istihbarat elde etmek ve savunma sistemlerinin yapılandırmasını bilgilendirmek için güvenli bir ortam sağlarlar. Kuruluşlar, ortaya çıkan tehditlerin bir adım önünde kalarak güvenlik duruşlarını güçlendirebilir ve olası ihlal riskini azaltabilir.
Ancak korumalı alanlar, sağlam bir siber güvenlik stratejisinin yalnızca bir bileşenidir. Güvenlik duvarları, saldırı tespit ve önleme sistemleri, veri kaybı önleme, erişim kontrol sistemleri ve çalışanlar için sürekli güvenlik eğitimini içeren kapsamlı bir yaklaşımın parçası olmalıdırlar.
Kuruluşlar, bu unsurları birleştirerek hem bilinen hem de bilinmeyen tehditlere karşı koruma sağlayan çok katmanlı bir savunma oluşturabilir. Bu, sürekli değişen çevrimiçi ortam karşısında güvenli ve esnek bir ağ sağlar.
yazar hakkında
Jack Zalesskiy, ANY.RUN’da beş yıllık deneyime sahip bir teknoloji yazarıdır. Kötü amaçlı yazılım olaylarını, veri ihlallerini ve siber tehditlerin günlük hayatımızda nasıl ortaya çıktığını yakından takip ediyor.
Jack’e çevrimiçi olarak [email protected] adresinden ve şirketimizin web sitesi ANY.RUN – Etkileşimli Çevrimiçi Kötü Amaçlı Yazılım Sandbox’ından ulaşılabilir.