WebDAV olayları, kötü amaçlı yazılımları bir istemci bilgisayara dağıtmak için bir WebDAV sunucusu kullanan bir saldırı saldırısını simüle eder. Saldırganlar kötü amaçlı veri yüklerini depolar ve kullanıcıları bunları indirmeye ve çalıştırmaya çeker.
Daha sonra AsyncRat/Purelogs kötü amaçlı yazılımını içeren gerçek dünya senaryosunu analiz ederek savunma mekanizmalarını anlıyor. ANY.RUN etkileşimli kötü amaçlı yazılım korumalı alanı ve tespit kurallarının oluşturulması da dahil olmak üzere bu tür saldırıları tespit etme yöntemlerini tartışıyor.
ANY.RUN’un kuruluşunuza nasıl fayda sağlayabileceğini görün. Yapabilirsiniz ücretsiz erişim elde edin güvenlik ekibiniz için.
.webp)
İstemci tarafı WebDAV istismarını simüle etmek için, bir Kali Linux saldırgan makinesi ve bir Windows hedef makinesi kuruyorlar, ardından hesap makinesini başlatan bir LNK kısayolu oluşturuyorlar, bunu bir WebDAV sunucusuna yüklüyorlar ve başlatmak için bir URL dosyasını proxy olarak kullanıyorlar. hedef makinede indirme ve yürütme.
.webp)
Saldırı, ağ bağlantısı kurmayı, kötü amaçlı dosyalar oluşturmayı, bir WebDAV sunucusu başlatmayı ve URL dosyasını hedefte çalıştırmayı, sunucuda bir bağlantıyı günlüğe kaydederken hesap makinesini başarıyla başlatmayı içerir.
Saldırgan, WebDAV sunucusunda barındırılan kötü amaçlı bir LNK dosyasına bağlanan kötü amaçlı bir URL dosyası sunmak için kimlik avı e-postası kullanır. Kullanıcı URL dosyasını başlattığında, LNK kötü amaçlı bir BAT dosyası indirir ve onu çalıştırır.
YARA kuralı URL dosyasını tanımladı, YARA avlama kuralı diskteki LNK dosyasını algıladı ve SIGMA kuralı yürütme sırasında kullanılan belirli komut satırını tanıdı.
Suricata kuralı, WebDAV sunucusuna olan ağ bağlantısını tanımladı ve bu tespit yöntemlerini birleştirerek, HERHANGİ BİR ÇALIŞMA WebDAV istismar saldırılarına karşı etkili bir şekilde savunma yapar.
URL yürütmeyi engelleme
Savunmacılar, bu dosyaların Windows ayarları içinde çalışmasını engelleyerek URL dosyası yürütme saldırılarını engelleyebilir. Tehdit istihbaratı ve tespit edilen eserlerin analizi, saldırı vektörünün tanımlanmasına yardımcı olur.
Kötü amaçlı kalıpları aramak için komut satırındaki veya URL filtrelerindeki normal ifadeler kullanılabilirken, Suricata bir ağ güvenliği izleme aracıbu tür saldırıları gösterebilecek tetiklenen kuralları tespit etmek için kullanılabilir.
Savunmacılar, bu yöntemleri uygulayarak URL dosyası yürütme girişimlerini proaktif olarak önleyebilir.
Araştırmacılar, kötü amaçlı yazılım göndermek için WebDAV sunucularını ve LNK dosyalarını kullanan istemci tarafı açıklarını araştırdı. Kötü amaçlı URL/LNK dosyalarını, komut satırındaki tuhaf etkinlikleri ve WebDAV sunucularına bağlantıları arayan kurallar koydular.
Windows ayarlarında LNK/URL yürütmesinin devre dışı bırakılması da önleyici bir tedbir olabilir; bu, muhtemelen ANY.RUN gibi bir tehdit analizi sanal alanı kullanır ve güvenlik profesyonellerinin kötü amaçlı yazılım örneklerini kontrollü bir ortamda analiz etmesine olanak tanır.
ANY.RUN Hakkında
ANY.RUN’un amiral gemisi ürünü, güvenlik ekiplerinin kötü amaçlı yazılımları verimli bir şekilde analiz etmesine yardımcı olan etkileşimli bir kötü amaçlı yazılım sanal alanıdır.
Her gün 400.000 analist ve 3000 kurumsal müşteriden oluşan bir topluluk, Windows ve Linux tehditlerini analiz etmek için bulut tabanlı platformumuzu kullanıyor.
ANY.RUN Tehdit İstihbaratını Kuruluşunuza Entegre Edin: Satış Ekibiyle İletişime Geçin
ANY.RUN’un işletmeler için temel avantajları:
- Etkileşimli analiz: Analistler, davranışı hakkında daha fazla bilgi edinmek için bir VM’deki “örnekle oynayabilir”.
- Hızlı ve kolay konfigürasyon. Farklı yapılandırmalara sahip VM’leri birkaç saniye içinde başlatın.
- Hızlı algılama: Bir dosyayı yükledikten sonra yaklaşık 40 saniye içinde kötü amaçlı yazılımları algılar.
- Bulut tabanlı çözüm kurulum ve bakım maliyetlerini ortadan kaldırır.
- Sezgisel arayüz: Kıdemsiz SOC analistlerinin bile kötü amaçlı yazılım analizi yapmasına olanak tanır.
SOC ve DFIR Ekiplerinden misiniz? – Kötü Amaçlı Yazılım Olaylarını analiz edin ve ANY.RUN ile canlı Erişim elde edin -> Şimdi Ücretsiz Başlayın.