Siber suçluların, uzlaşmış sistemlerde mevcut güvenlik korumalarını devre dışı bırakmak için siber suçluların son nokta tespit ve yanıt (EDR) yazılımının ücretsiz denemelerini kullandığı sofistike bir saldırı tekniği ortaya çıktı.
BYOEDR (kendi EDR’nizi getir) olarak adlandırılan bu yöntem, meşru güvenlik araçlarını kendilerine karşı silah olarak kullanan savunma kaçakçılığı taktiklerinde ilgili bir evrimi temsil eder.
Key Takeaways
1. Attackers use free EDR trials to disable existing security tools.
2. The technique (BYOEDR) is easy, effective, and bypasses protections.
3. Defenders should restrict unauthorized installs and improve validation.
EDR Deneme Programlarından İstismar
Saldırı tekniği ilk olarak, tehdit aktörlerinin EDR ürünlerinin ücretsiz denemelerini alabileceğini ve bunları hedef sistemlerde zaten konuşlandırılmış rakip güvenlik çözümlerini etkisiz hale getirmek için kullanabileceğini keşfeten araştırmacılar Mike Manrod ve Ezra Woods tarafından tanımlandı.
Testlerinde, Cisco Secure Endpoint’in (AMP) uyarıları tetiklemeden veya çevrimdışı olan konakçının ötesinde telemetri üretmeden hem Crowdstrike Falcon’u hem de elastik savunmayı devre dışı bırakacak şekilde nasıl başarılı bir şekilde kurulabileceğini ve yapılandırılabileceğini gösterdiler.
Mike Manrod ve Ezra Woods’a göre, teknik süreç EDR idari yeteneklerinden yararlanan birkaç kritik adım içeriyor. Yerel yönetici ayrıcalıkları aldıktan sonra, saldırganlar ücretsiz EDR denemeleri için kayıt olur, aracı yükleyicisini indirir ve hedef sisteme dağıtırlar.
Daha sonra EDR konsolunun Yönetim> Politikalar bölümüne giderler, Windows için “Koru” politikasına erişir ve tüm hariç tutulmaların istisnalar sekmesinden sistematik olarak kaldırılırlar.
Son adım, hedef EDR işleminin SHA256 karmasını tanımlamayı ve Salgın Kontrol> Bloklu Uygulama Arabirimi aracılığıyla “Engellenen Uygulama Listesine” eklemeyi içerir.
Bu tekniği özellikle tehlikeli kılan şey, güvenlik yazılımının yetkisiz modifikasyonunu tipik olarak önleyen kurcalama koruma mekanizmalarını atlama yeteneğidir.
BYOVD (kendi savunmasız sürücünüzü getirin) veya DLL-Unhooking teknikleri gibi daha karmaşık kaçış yöntemlerinden farklı olarak, BYOEDR yüksek etkinliği korurken daha düşük bir karmaşıklık yaklaşımı sunar.
Hafifletme
Bu saldırı yöntemi, RMM (uzaktan yönetim ve izleme) kötüye kullanımının artmasının bir zemine karşı ortaya çıkıyor ve 2024 Crowdstrike tehdit avı raporu, bu tür faaliyetlerde yıllık% 70’lik bir artış olduğunu gösteriyor.
EDR araçlarının meşruiyeti, geçerli sertifikalara ve algılama olasılığını azaltan güvenilir statüye sahip oldukları için onları özellikle kötü niyetli amaçlar için etkili hale getirir.
Güvenlik uzmanları, yetkisiz RMM ve EDR kurulumlarını engellemek için uygulama kontrol önlemlerinin, özel IOA’ların (saldırı göstergeleri) ve uygulamaya duyarlı güvenlik duvarlarının uygulanmasını önerir.
Ayrıca, uygun ağ segmentasyonu, konakçı sertleştirme, düzenli yama ve yerel yönetici ayrıcalıklarını sınırlama gibi temel güvenlik uygulamaları önemli savunmalar olmaya devam etmektedir.
Araştırma ekibi, EDR satıcılarının ücretsiz denemeler için doğrulama süreçlerini güçlendirmeye ve aynı ürünün farklı kiracıları arasında acente kaçırmayı önleyen önlemleri uygulamaya çağırdı.
Integrate ANY.RUN TI Lookup with your SIEM or SOAR To Analyses Advanced Threats -> Try 50 Free Trial Searches