İtibar temelli güvenlik kontrolleri, kuruluşları güvenli olmayan Web uygulamalarına ve içeriklerine karşı korumada birçok kişinin varsaydığı kadar etkili olmayabilir.
Elastic Security araştırmacılarının yaptığı yeni bir araştırma, saldırganların son birkaç yılda itibarlarına ve güvenilirliklerine dayanarak uygulamaları ve içerikleri engelleyen veya izin veren mekanizmaları aşmak için çeşitli etkili teknikler geliştirdiğini ortaya koydu.
Çoklu Mevcut Teknikler
Bu teknikler arasında, onları meşru göstermek için dijital olarak imzalanmış kötü amaçlı yazılım araçlarının kullanılması, itibar gaspı, itibar tahrifi ve özel olarak hazırlanmış LNK dosyaları yer alıyor. Elastic Security araştırmacısı Joe Desimone, “İtibar tabanlı koruma sistemleri, ticari kötü amaçlı yazılımları engellemek için güçlü bir katmandır” diye yazdı. bu haftaki bir raporda“Ancak, her koruma tekniğinde olduğu gibi, bunların da biraz dikkatle aşılabilecek zayıflıkları var.”
Araştırmacılar çalışma için, saldırganların atlatma yolları geliştirdiği itibar tabanlı mekanizmalara örnek olarak Microsoft Windows Smart App Control (SAC) ve SmartScreen teknolojilerini kullandılar.
SmartScreen bir özelliktir Microsoft’un Windows 8 ile birlikte kullanıcıları kötü amaçlı web sitesi uygulamalarına ve dosya indirmelerine karşı korumak için tanıttığı. Dosyaların Web’in İşareti (MoTW) üzerindeki dosyalara veya Windows’un İnternet’ten indirilmiş olarak etiketlediği dosyalara güvenilebilir. Akıllı Uygulama Kontrolü oldu Windows 11 ile kullanılabilir. Bir uygulamanın çalıştırılmaya yetecek kadar güvenilir olup olmadığını belirlemek için Microsoft’un tehdit istihbarat hizmetini kullanır. Tehdit istihbaratı bir uygulamanın güvenilirliğini belirleyemezse, SAC uygulamanın çalışmasına izin vermeden önce dijital olarak imzalanıp imzalanmadığını doğrular.
Elastic Security araştırmacıları, saldırganların bu korumaları aşmanın birden fazla yolunun olduğunu keşfetti.
LNK MoTW’yi Ezip Geçiyor
Elastic Security, saldırganların Akıllı Uygulama Denetimi’ni aşmak için kullandıkları yaygın bir yolun, kötü amaçlı yazılımlarını genişletilmiş doğrulama (EV) SSL sertifikasıyla imzalamak olduğunu söyledi. Sertifika yetkilileri, talep eden bir varlığa EV vermeden önce kimlik kanıtı gerektirse de, tehdit aktörleri meşru işletmeleri taklit ederek bu gereksinimi karşılamanın yollarını buldular. Diğer durumlarda, MoTW kontrollerini atlatmak için JavaScript ve MSI dosyalarına özel olarak hazırlanmış ve geçersiz kod imzalama imzaları kullandılar. Elastic Security, en azından son altı yıldır, saldırganların Windows’un kısayol dosyalarını (LNK) işleme biçimindeki bir zayıflığı kötüye kullanarak esasen kötü amaçlı LNK dosyalarından MoTW’yi soyup bunları SmartScreen’den gizlice geçirdiğini söyledi ve bu taktiği “LNK Ezme” olarak adlandırdı.
İtibar ele geçirme — bir saldırganın güvenilir uygulamaların, web sitelerinin ve diğer varlıkların iyi itibarını istismar ettiği — başka bir taktiktir. Elastic Security, saldırganların genellikle bu tür saldırılar için Lua, Node.js ve AutoHotkey gibi güvenilir betik ana bilgisayarlarını veya betikleri çalıştıran programları hedef aldığını buldu. Bu atlama, kötü amaçlı içeriği güvenilir betik ana bilgisayarının normal seyrinde otomatik olarak bulup çalıştıracağı yere yerleştirmeyi içerir. “Betik ana bilgisayarları itibar ele geçirme saldırısı için ideal bir hedeftir. Bu özellikle yabancı işlev arayüzü (FFI) yeteneği içeriyorlarsa geçerlidir,” diye yazdı Desimone. “FFI ile saldırganlar belleğe kolayca keyfi kod ve kötü amaçlı yazılım yükleyebilir ve çalıştırabilir.”
Elastic Security ayrıca saldırganların itibar tabanlı filtreleme mekanizmalarını atlatmak için itibar tohumlaması adı verilen bir teknik kullandığını buldu. Bu saldırılar için, tehdit aktörleri önce kendi görünüşte zararsız ikili dosyalarını veya yürütülebilir dosyalarını bir hedef sisteme sokar ve bunların zamanla olumlu bir itibar oluşturmasını bekler. Başka bir varyasyon, daha sonra kullanılmak üzere bilinen bir güvenlik açığı olan meşru bir uygulamayı hedef ortama sokmaktır. Desimone raporunda “Akıllı Uygulama Denetimi tohumlamaya karşı savunmasız görünüyor” dedi. “Bir makinede bir örneği yürüttükten sonra, yaklaşık 2 saat sonra iyi bir etiket aldı.”
Güvenlik sağlayıcısı, kuruluşların kimlik bilgisi erişimi, numaralandırma, bellek içi kaçınma, kalıcılık ve yatay hareket gibi yaygın saldırı taktiklerini izlemek için davranış analizi araçlarını kullanarak güvenliklerini artırmalarını öneriyor.