Etkileşimli Korumalı Alan Oluşturma Kuruluşunuza Nasıl Fayda Sağlayabilir?
Yazan Vlad Ananin, Any.Run Teknik Yazarı
Siber saldırıların mevcut hızı ve karmaşıklığı, şirketlerin güvenliklerini yönetmelerini her zamankinden daha da zorlaştırıyor. Bu bağlamda otomasyon, profesyoneller için manuel görevlerin yükünü hafifleterek ve güvenlik operasyonlarını iyileştirerek önemli bir değer sağlar.
Ancak bazı durumlar hâlâ insan müdahalesini ve izlemeyi gerektirmektedir. Birçoğu sandboxing ile ilgilidir. Otomatik sanal alanların yerini etkileşimli olanlara bıraktığı yaygın senaryoları burada bulabilirsiniz.
Etkileşimli Korumalı Alan Nedir?
Etkileşimli korumalı alan oluşturma, otomasyonun hızını ve ölçeklenebilirliğini manuel analizin derinliği ve ince ayrıntılarıyla birleştiren bir kötü amaçlı yazılım analiz yaklaşımıdır. Kötü amaçlı yazılımları analiz etmek için yalnızca önceden tanımlanmış komut dosyalarına ve kurallara dayanan otomatik sanal alanların aksine, etkileşimli sanal alanlar, analistlerin kötü amaçlı yazılımla manuel olarak etkileşim kurmasına ve ortamını değiştirmesine olanak tanır.
Etkileşimli sanal alan arayüzü
Etkileşim sayesinde analistler, araştırmalarına fayda sağlayabilecek daha geniş bir faaliyet yelpazesi gerçekleştirebilirler. Bunlar, VM’den kopyalayıp yapıştırmayı, ek dosyaları indirip çalıştırmayı, bir web tarayıcısı kullanmayı ve hatta sistemi yeniden başlatmayı içerir. Bu yaklaşım, kötü amaçlı yazılımın davranışının, işlevselliğinin ve amacının daha kapsamlı anlaşılmasını sağlar.
Böyle bir yaklaşımın otomatik yaklaşımdan daha etkili olduğu durumlara bakalım.
Senaryo 1: Karmaşık Kaçınma Teknikleri
Bazı kötü amaçlı yazılımlar, otomatik korumalı alanların analiz etmekte zorlanabileceği davranışlar sergiler. Bu tür davranışlar genellikle kullanıcı açısından insan etkileşimi ihtiyacıyla ilgilidir ve bunun otomatik bir çözümde gerçekleştirilmesi zordur. Etkileşim, analistlerin hedeflenen sistemle gerçek bir bilgisayarda olduğu gibi etkileşime geçmesine olanak tanır.
- Steganografi: Saldırganların geçtiğimiz yıl birçok kampanyada kullandığı steganografi tekniğini düşünün. Bu yöntemin en yaygın uygulamalarından biri, kötü amaçlı kodun bir görüntünün içine gizlenmesini içerir. Etkileşimli bir sanal alan, analistlerin bu tür içerikleri manuel olarak çıkarmasına ve ayrıntılarını görüntülemesine olanak tanır. Base64 kodlu yürütülebilir dosyaya sahip bir görüntünün kullanıldığı bir stegokampanyanın bu analizine göz atın.
Steganografi kampanyası örneği
- CAPTCHA’lar: Tehdit aktörlerinin otomatikleştirilmiş çözümleri atlamalarına olanak tanıyan başka teknikleri de vardır. Yüzlerce kimlik avı saldırısında basit ama güvenilir bir kaçınma tekniği olarak kullanılan CAPTCHA’lar bunun önemli bir örneğidir. Etkileşim, analistlerin testi manuel olarak çözerek ve saldırının bir sonraki aşamasına geçerek saldırıyı tamamen açığa çıkararak bu sorunu kolayca çözebilmelerini sağlar.
- Fare hareketi: Diğer bir yaygın sanal alandan kaçınma tekniği, kötü amaçlı yazılımın patlamasını tetiklemek için fare hareketini kullanmayı içerir. Bazı otomatik çözümler fare öykünme mekanizmalarını içerse de, bazı kötü amaçlı yazılımlar yine de yapay hareketleri algılayabilir. Etkileşimli bir hizmet, kullanıcılara sanal makine üzerinde tam kontrol sağlayarak, doğal fare hareketlerini taklit etmeyi ve kötü amaçlı yazılımı başarılı bir şekilde analiz etmeyi mümkün kılarak bu engelin aşılmasına yardımcı olabilir.
Senaryo 2: Kavram kanıtı testi
Etkileşimli kötü amaçlı yazılım sanal alanları, esneklikleri ve özelleştirme yetenekleri nedeniyle otomatikleştirilmiş olanlarla karşılaştırıldığında kavram kanıtı (PoC) testi için daha uygundur. Etkileşimli bir sanal alan sayesinde analistler çevreyi manipüle edebilir ve kötü amaçlı yazılımın davranışını yakından gözlemleyebilir.
Bu uygulamalı yaklaşım, analistlerin otomatik korumalı alanların kapsamına girmeyen belirli senaryoları test etmesine olanak tanır.
Bu yıl keşfedilen güvenlik açıklarından biri olan MonikerLink olarak da bilinen CVE-2024-21413’ü ele alalım. Bu kusur, Outlook’ta bir NTLM Hash’in ele geçirilmesine yol açarak kötü amaçlı kodun kullanıcının bildirimi olmadan uzaktan yürütülmesine olanak sağlayabilir.
CVE-2024-21413 korumalı alan analiz sonuçları
Etkileşimli bir sanal alan, bu ve diğer güvenlik açıklarının kavram kanıtını keşfetmek isteyen profesyonellere büyük fayda sağlayabilir.
MonikerLink durumunda, yerel bir VPN ağı kurabilir ve saldırı yürütme sürecinin tamamını görüntülemek için bulut tabanlı sanal alanı buna bağlayabilirler. Bu tür testler, kıdemsiz personelin eğitimi ve etkili tespit ve azaltma stratejilerinin geliştirilmesi için gerekli olan güvenlik açığına ilişkin ilk elden bilgiler sunabilir.
Senaryo 3: Saldırı Ayrıntıları
Bir saldırının ayrıntılarını anlamak, etkili müdahale ve iyileştirme için çok önemlidir. Ancak otomatik sanal alanlar, enfeksiyona yol açan belirli olaylar gibi saldırı hakkında yeterli ayrıntı sağlayamayabilir.
Etkileşimli sanal alanlar ise saldırının daha kapsamlı bir resmini sunarak bağlamını ve etkisini vurguluyor.
Çok aşamalı bir saldırının parçası olan komut dosyası yürütme, otomatik çözümlerde genellikle ayrıntıların eksik olduğu bir etkinliğe örnektir.
Korumalı alan tarafından görüntülenen, gizliliği kaldırılmış PowerShell betiği
ANY.RUN gibi etkileşimli sanal alanlar yalnızca JScript, VBA ve VBScript dahil olmak üzere analiz sırasında yürütülen komut dosyalarını algılamakla kalmaz, aynı zamanda bunların işlevlerinin yanı sıra giriş ve çıkışlarının da ayrıntılı bir dökümünü sunar. Aynı durum, 2024 yılının 1. çeyreğinde en yaygın dördüncü TTP olduğu tespit edilen PowerShell komut dosyaları için de geçerlidir. Etkileşimli bir sanal alan, analizlerini basitleştirerek, amacının daha net bir şekilde görülebilmesi için komut dosyasının gizliliği kaldırılmış bir versiyonunu sunar.
ANY.RUN ile Etkileşimli Kötü Amaçlı Yazılım Analizi
ANY.RUN, etkileşimli analiz için tasarlanmış bulut tabanlı bir sanal alandır. VNC teknolojisinin kullanılması sayesinde kullanıcılar Windows ve Linux VM’leri üzerinde tam kontrol sahibi olabiliyor ve sistemle doğrudan etkileşime geçebiliyor.
Korumalı alan, tehditleri ortalama 40 saniyeden kısa bir sürede algılar ve hem ortaya çıkan hem de kalıcı kötü amaçlı yazılım ailelerinin kötü amaçlı yazılım yapılandırmalarının yanı sıra, tehlike göstergelerini de çıkarır.
Hizmet, ağ, kayıt defteri ve süreç analizi için gelişmiş araçlarla donatılmıştır. Tüm kötü niyetli davranışları otomatik olarak MITRE ATT&CK matrisiyle eşleştirir ve analiz sırasında toplanan bulguları içeren indirilebilir bir rapor oluşturur.
yazar hakkında
Vlad Ananin, ANY.RUN’da teknik yazardır. Siber güvenlik ve teknoloji alanındaki 5 yıllık tecrübesiyle, karmaşık kavramları daha geniş bir kitleye erişilebilir kılma tutkusuna sahip ve en son trendleri ve gelişmeleri keşfetmekten keyif alıyor. Vlad’a https://any.run/ şirketin web sitesinden çevrimiçi olarak ulaşılabilir.