Güvenlik işlemleri
Müfettişler, arazi ikili işlerinin sürekli kullanımını, sık RDP istismarını görüyor
Mathew J. Schwartz (Euroinfosec) •
4 Nisan 2025
Siber savunucular, meşru yönetici araçlarının olağandışı kullanımı için gözlerini soymak için örgütlerini bilgisayar korsanlarından daha iyi koruyabilirler.
Ayrıca bakınız: Active Directory’nin 25 yıllık mirası neden bir güvenlik sorunu
Siber güvenlik firması Sophos’un geçen yıl araştırdığı 413 olaydan oluşan bir inceleme, ağın olayların neredeyse yarısında rakamları ihlal ettiğini ve ardından olayların% 40’ını oluşturan fidye yazılımlarını buluyor.
Saldırganların niyetleri ne olursa olsun, girmeyi başaran saldırganları engellemek için gözlerini olağandışı ağ etkinliği için soyulmuş tutmak önemlidir. Bu stratejinin anahtarı güçlü günlük verilerini korumaktır.
Sophos, saldırı sonrası olay müdahale ekibi tarafından araştırılan vakaların% 66’sı ve yönetilen tespit ve müdahale işi ile işaretlenen vakaların% 39’u için günlüklerin mevcut olmadığını buldu. “Her durumda eksik günlüklerin önde gelen nedeni, soruşturma sırasında analistlere basitçe kullanılamıyorlar (% 20), ardından günlüklerin% 17’si saldırganlar tarafından temizleniyor ve yetersiz tutma süreleri nedeniyle% 7’si eksikti.” Dedi.
Günlükleri silmek için, saldırganların ellerinde çeşitli araçlar ve teknikler bulunurken, sık sık dağıtılan Windows Etkinlik Yardımcı Programıdır. webtutil.exekuruluşları saldırı belirtileri haline getirebilecek Windows olay günlük girişleri oluşturacak. Bu tetikleme günlük kimlikleri 1102 Güvenlik günlükleri için ve 104 sistem günlükleri için. Sophos, “Kuruluşlar bu etkinliği tespit etmek için güvenlik araçlarını ve tehdit avlarını yapılandırmayı düşünmelidir.” Dedi.
Olağandışı aktivite belirtileri izlemek en iyi savunma taktiği. Bu, bilgisayar korsanlarının yaşama ikili iki işlerini, yani Lolbins’i kötüye kullanmayı tespit etmeyi içerir. Bunlar, birçok kuruluşun meşru amaçlar için kullandığı araçlardır. Birçok saldırgan onları kendi amaçları için ele geçiriyor.
Meşru ikili dosyalar kullanmak, saldırganların faaliyetlerini gizlemelerine yardımcı olur. Sophos, “Lolbins ile ilgili ana sorun, çok fazla gürültü yaratma eğiliminde olmaları.” Dedi. “BT ekipleri için zorluk, sinyalin nerede olduğunu anlamaktır.”
Müfettişler başarılı saldırılara bağlı lolbins bulmaya devam ediyorlar. Siber güvenlik firması Cisco Talos, 2024 araştırmalarında “Lolbins’in en yaygın kullanılan araçlar olduğunu ve aktörlerin normal trafikle karışmasını sağladığını” söyledi (bakınız: Hacker Taktikleri: Kenar cihazlarından yararlanma, eksik çok faktörlü).
Saldırganların en çok kullanılan ikili dosyaları, Cisco Talos dahil:
- Psexec: Resmi bir Microsoft aracı – hem yerel hem de uzak sistemlerde işlemleri yürütebilen Sysinternals sorun giderme paketinin bir parçası -. Cisco Talos, “Birçok fidye yazılımı işlemi, yüklerini alan adındaki tüm sistemlerde çalıştırmak için Psexec kullanıyor.” Dedi.
- İthal: Açık Kaynak Ağ Denetim Aracı, Active Directory uygulamalarını kullanıcı adları ve şifreler için adlandıracak şekilde SecretsDump gibi modülleri çalıştırır.
- Mimikatz: Ticari kırmızı takım aracı, Windows Yerel Güvenlik İdaresi Alt Sistemi Hizmeti veya kullanıcı ve etki alanı yönetici kimlik bilgilerini depolayan LSASS, Process Belle’nin yanı sıra kayıt defteri kovanlarından ve Windows işletme sistemlerinde yerleşik veri koruma API – DPAPI dahil olmak üzere çeşitli kaynaklardan kimlik bilgilerini dökebilir.
Sophos da aynı şekilde bu araçların sayısız saldırıda ve diğer ikili dosyalarda kullanıldığını gördü. notepad.exe– cmd.exe– ping.exe Ve whoami.exe. En istismar edilen en büyük 20 ikili dosyanın yarısının, kurumsal ağları numaralandırmak için araçlar olduğunu söyledi.
Başka bir üst araç PowerShell. Sophos, “Takımların onu kullanmayı bıraktığını öne sürmeyeceğiz, ancak algılama mühendisliği kullanılarak uygulanabilecek bazı hızlı sezgisel tarama var.” Dedi. Diyerek şöyle devam etti: “Bu PowerShell senaryosu ağır bir şekilde gizlendi ve internete ulaştı mı? Eğer öyleyse, muhtemelen araştırılmalıdır.”
RDP’yi kilitle
Araştırdığı 2024 saldırı boyunca Sophos, en çok istismar edilmiş Microsoft aracını, araştırdığı vakaların% 84’ünde yer alan uzak masaüstü protokolü olarak buldu. Bu vakaların üçte ikisinde RDP, saldırganlar tarafından sadece bir ağ içindeki yanal hareket için kullanıldı.
RDP’nin kötü niyetli kullanımını tespit etmek için Sophos, çalınan kimlik bilgilerini kullanmayı zorlaştırmak için çok faktörlü kimlik doğrulama kullanarak tüm bu bağlantıların korunması da dahil olmak üzere bir dizi adım atmanızı ve en az ayrıcalık prensibini uygulamanızı önerir. “Kullanımını kısıtlayarak ve normalin neye benzediğini anlayarak anormallikleri tespit etmek daha kolay hale gelir” dedi.
Windows olaylarını günlüğe kaydederken, başarılı kimlik doğrulama bir olay kimliği ile görünürken, başarısız bir girişimde ID 4625 olayına sahiptir. Birincisi, saldırganların meşru kimlik bilgilerini ne zaman kullandığını belirlemeye yardımcı olmak için diğer özelliklerle ilişkili olabilirken, ikincisi kaba bir saldırı saldırısı ortaya çıkarabilir.
Alarmları açan diğer veri noktaları, koordineli evrensel zaman kullanarak ayarlanan alışılmadık bir zaman bölgesi yanlılığı sporu yapan uzaktan müşterileri içerebilir. Örneğin, ABD Doğu Kıyısı’na dayanan uzak bir kullanıcının muhtemelen bir UTC-5 ofseti olacaktır, Rusya merkezli bir kullanıcının UTC+3 ofseti olacaktır.
Başka bir bayrak, uzak bir bağlantı oluşturmaya çalışan standart olmayan bir kurumsal isme sahip bir cihaz olabilir. Geçen yıl araştırılan vakaların% 6’sı, Sophos “Kali” konut adını görünüşe göre penetrasyon testi ve hacklemede yoğun bir şekilde şekillendiren açık kaynak işletim sistemi Kali Linux’tan sonra kullanıldı.
Şüpheli aktivite belirtilerinin hızla araştırılması gerekmektedir.
Saldırganlar her zamankinden daha hızlı hareket ediyorlar, Sophos sadece iki gün ortalamada kırıldıktan sonra bir ağın içinde bekleme sürelerini görüyor. Ortanca bekleme süresi yedi gün veya fidye yazılımı için dört gün ve diğer tüm saldırı türleri için 11.5 gündü – saldırganların kripto -kilitleme kötü amaçlı yazılımları serbest bırakmaya istekli olmadıklarında ağda nasıl daha fazla zaman harcayabileceğini yansıtıyor.
Sophos, bekleme süresinin daha düşük olamayacağını söyledi. “Bazı eylemler – örneğin, verileri püskürtmek – daha hızlı gidemez, çünkü insan aktivitesine, veri verimine veya diğer oldukça katı zaman çerçevelerine güveniyorlar.” Dedi. “Bu, saldırıların daha hızlı yapılamayacağı anlamına gelmez, çünkü yapabilirler, ancak veriler fidye yazılımı saldırılarının geleneksel olarak diğer saldırı türlerinden daha uzun zaman dilimine ihtiyaç duyduğunu gösteriyor.”