RSA KONFERANSI 2023 – San Francisco – Saldırganlar, akıllı keşif ve mevcut araçlardan biraz daha fazlasıyla, herhangi bir ses çıkarmadan veya geride iz bırakmadan bir kurumsal ağı ele geçirme konusunda giderek daha yetenekli hale geliyor.
Aslında, CrowdStrike CEO’su Jeff Hurtz ve başkan Michael Sentonas’a göre, 2022 takvim yılında kurumsal siber saldırıların %71’i kötü amaçlı yazılım olmadan yapıldı.
Bu yılki RSA Konferansı’nda, Hurtz ve Sentonas, bir tehdit aktörünün bir ağa sızmanın yanı sıra yanal olarak hareket etmesinin ve bir dalgalanma oluşturmadan ısrar etmesinin ne kadar kolay olduğunu gösteren bir örnek olayı seyirciye anlatmak için açılış sahnesine geri döndüler. siber güvenlik ekiplerinin kötü amaçlı yazılım içermeyen tavizleri tespit etmeye ve hafifletmeye çalışırken karşılaştıkları türden bir zorluk.
Efsanevi siber güvenlik ikilisi, sahneden “Örümcek” siber suç grubunun profilini fenomenin mükemmel bir örneği olarak çıkardı.
Sentonas, “Çok iyi hazırlanmışlar ve çok iyi kaynaklara sahipler” dedi. “Ve mevcut araçlardan yararlanmayı gerçekten seviyorlar; uyum sağlayabiliyorsanız hayal kurmanıza gerek yok.”
Örümcek: Kötü Amaçlı Yazılımsız Bir Saldırının Anatomisi
İlk olarak, Örümcek derinlemesine bir istihbarat toplama çabası başlatır. Hurtz, ekibinin, sosyal mühendisliğin bir sonraki aşamasını ateşleyebilecek herhangi bir içgörü elde etmeye çalışırken kurban şirketin yardım masasıyla telefonda bir saatten fazla zaman harcayarak tehdit aktörünü tespit edebildiğini söyledi.
Görüş alanına belirli bir kullanıcı girdikten sonra Spider, kullanıcıya kimlik bilgilerinin ele geçirildiğini bildiren bir sesli arama başlatır. Kurbanlara daha sonra kötü amaçlı bir bağlantı gönderilir ve yalnızca oturum açma bilgilerini değil, aynı zamanda çok faktörlü kimlik doğrulama (MFA) verilerini de girmeleri istenir. Kullanıcı, bunları teslim etmesi için kandırıldığında, Spider çalışmaya başlar.
Hurtz, kullanıcının malları teslim etmesi hakkında “Biz buna A katmanı sorunu diyoruz” diye şaka yaptı. “Sandalye ile klavye arasında.”
Spider daha sonra Tails işletim sistemini kullanır ve Evilginx2 siber saldırganlar tarafından kontrol edilen bir AnyDesk hesabı oluşturmak için kullanıcının kimlik bilgilerinden ödün vermek. Hurtz, AnyDesk’in tehdit aktörleri arasında popüler bir uzak masaüstü aracı olmaya devam ettiğini de sözlerine ekledi.
Spider ayrıca kimliklerini gizleyen ve tespit edilmekten kaçınmak için kodlarını mümkün olduğunca donanım üzerinde çalıştıran özel makineler kullanır. Sentonas, “Her yerden olabilir,” dedi. “Çılgın bir alandan gelmeyeceği için uyum sağlıyor.”
Sanal makine olarak kullanılan DigitalOcean Droplet gibi diğer araçlar saldırı zincirini tamamlar. Nihayetinde, Hurtz ve Sentonas, Örümcek saldırısının, ağda kendi kullanıcılarıyla kurulan, ücretsiz ve istediği zaman veri sızdırabilen ısrarcı aktörle sona erdiğini açıkladı. Ve daha da önemlisi, Sentonas, eğer tehdit aktörü şirket içi ağa girebilirse, bulutun muhtemelen senkronize edileceğini ve tehlikeye gireceğini de belirtti.
Daha da önemlisi, Sentonas ve Hurtz, izleyiciyi, tehdit aktörlerinin yeni kullanıcılar kurmak için tam yönetici erişimine ihtiyaç duyduğu fikrinden vazgeçirmek istedi. Değiller ve Sentonas, tam olarak yetki verilen izinlerin, şirketin müşteri ilişkileri yönetim sistemi hakkında özgürce hareket etmesine ve ayrıca kendilerini bir SQL sunucusu yöneticisi olarak eklemesine nasıl izin verebileceğini gösterdi.
Sentonas, geçtiğimiz birkaç çeyrekte CrowdStrike’ın bu tür kötü amaçlı yazılım içermeyen siber saldırılardan sersemlemiş yaklaşık bir işletmeyle uğraştığını söyledi.
Kötü Amaçlı Yazılım İçermeyen Siber Saldırılara Karşı Nasıl Savunma Yapılır?
İşletmeyi savunma söz konusu olduğunda, uç nokta algılama ve müdahale (EDR) ve diğer kötü amaçlı yazılım algılama araçları, kötü amaçlı yazılım içermeyen siber saldırılara karşı pek kullanışlı değildir. Tespit edilecek hiçbir kötü amaçlı kod yoktur.
Bunun yerine Hurtz ve Sentonas, işletmeleri uç noktadan buluta mümkün olduğunca çok telemetri toplamaya ve kimliği en ince ayrıntılara kadar yönetmeye odaklanmaya çağırdı.
Ancak tüm bu telemetri ve kimlik verilerini toplamak, ekiplere özellikle tehdit avı için kullanılmayan geniş bilgi okyanusları bırakır. Yapay zekanın (AI) ve makine öğreniminin (ML), kötü amaçlı kodu olmadan kötü amaçlı etkinliği algılamak için eklenen kullanıcı hesapları gibi anormal etkinlikleri aramak için anlamlı bir şekilde devreye alınabileceği yer burasıdır.
Kurumsal MFA hizmetini tehlikeye karşı korumak da önemlidir, diye eklediler.
Sentonas, “Kimlik deposu hijyenini iyi koruyun,” dedi. “Ve MFA için kullandığınız hizmetleri koruyun.”