Kötü niyetli aktörler, güvenlik önlemlerini devre dışı bırakma, yanal hareket ve dosya aktarma gibi hedeflerine ulaşmak için meşru araçları giderek daha fazla kullanıyor. Yaygın olarak bulunan araçları kullanmak, saldırganların tespit edilmekten kurtulmasına olanak tanır.
Özel olarak oluşturulmuş araçlar veya kötü amaçlı yazılımlar, uç nokta ürünleri tarafından kötü amaçlı olarak işaretlenebilirken, piyasada bulunan araçlar genellikle kuruluşlar tarafından temiz veya izin verilenler listesine alındı olarak işaretlenir. Bu, saldırıları BT yönetici işi gibi günlük operasyonların bir parçası olarak algılanabileceğinden, saldırganlara etkinliklerini fark edilmeden gerçekleştirmeleri için sınırsız yetki verir.
Saldırganların kuruluşların kendi yazılımlarını nispeten kolaylıkla silah haline getirmesi, BT ve güvenlik personelinin bu araçları genellikle standart ortamlarda yetkilendirmesinden kaynaklanmaktadır.
Üçüncü taraf araçlar, bunların bileşenleri ve yerleşik Windows araçları adil bir oyundur
Doğası gereği kötü niyetli olmayan GMER, PC Hunter, ProcessHacker ve Defender Control gibi araçlar, güvenlik ürünlerini devre dışı bırakmak veya kaldırmak için birden çok saldırıda kullanıldı.
Ayrıca, bu araçları uygulamalı saldırılarda, özellikle de fidye yazılımı dağıtımına yol açanlarda gördük. Örneğin, ekibim, aktörlerin bir kuruluşun sistemlerine Play fidye yazılımı dağıtmak için GMER ve PC Hunter’ı savunma amaçlı olarak kullandığı yakın tarihli bir vakayı analiz etti.
Saldırganların EDR aracılarını devre dışı bırakmak için yalnızca bu araçların bir bileşenini (örneğin, Process Explorer’ın kötüye kullanılabilir sürücü dosyaları) kullandığı bildirilen çok sayıda yakın tarihli vaka vardır.
Saldırganların keşif veya kimlik bilgileri dökümü gerçekleştirmek için rahatlıkla kullandıkları denetim, AD numaralandırma ve parola kurtarma için kullanılan meşru araçlar da vardır.
Ağ taraması uygulaması, ağ güvenliğini sürdürmek için çok önemlidir. Yetkisiz erişimi veya gözetlemeyi önlemek için bir ağ içindeki potansiyel zayıflıkları ve güvenlik açıklarını belirlemeyi ve keşfetmeyi içerir. Ancak, Angry IP Scanner, Advanced Port Scanner ve Nmap gibi araçlar, kuruluşların bu güvenlik açıklarını tespit edip ele almalarını sağlarken, saldırganlar da bunları zayıflıkları bulup kullanmak için kullanır.
Son zamanlarda aktörler, sistemlere erişim sağlamak veya sistemlerde kalıcılığı sürdürmek için uzaktan izleme ve yönetim (RMM) yazılımları kullanıyor. Ekibimizin telemetrisine göre bu, ConnectWise Control (eski adıyla ScreenConnect), AnyDesk, Atera ve Syncro gibi yaygın olarak kullanılan RMM yazılımlarını içerir. Ancak saldırganlar, savunucuların bu bilinen RMM’leri izlediğinin tamamen farkındadır ve sürekli olarak alternatif seçenekler aramaktadır.
Yakın zamanda, Action1 ve SimpleHelp RMM’nin fidye yazılımı dağıtmak için kötüye kullanıldığı bir durum yaşandı.
Suistimal edilen sadece üçüncü taraf araçlar da değil. Saldırganlar ayrıca, fidye yazılımı işlemlerini potansiyel olarak durdurabilecek yedekleme ile ilgili işlemleri durdurmak için taskkill veya net stop komutu gibi yerleşik Windows işlemlerini kullanarak işlemleri öldürmeye veya durdurmaya çalışır.
Saldırganlar, kötü amaçlı faaliyetler yürütmek için meşru ikili dosyaları veya işletim sistemlerinin parçası olan araçları kullanabilir. Bu ikili dosyalara genellikle LOLBin’ler (“Living off the Land Binaries”) denir. Yaygın olarak kullanılan bazı LOLBin’ler WMIC, PowerShell, Microsoft HTA motoru (mshta.exe) ve certutil’dir. LOLBin’ler, kötü amaçlı kod çalıştırma, dosyaları indirme, yükleme ve kopyalama gibi dosya işlemlerini gerçekleştirme ve parolaları çalma gibi çeşitli eylemleri gerçekleştirmek için kullanılabilir.
Gardınızı koruyun ve sahip olduklarınızı iyi anlayın
Zaman geçtikçe, saldırganların meşru araçları nasıl kötüye kullandıkları konusunda giderek daha yaratıcı hale geldiklerini şüphesiz göreceğiz ve yapay zeka, savunucuların bu saldırıları tespit edip kontrol altına almalarına yardımcı olmada hiç şüphesiz büyük bir rol oynayacaktır.
Ancak siz ve kuruluşunuz şimdi hangi düzeltici önlemleri alabilirsiniz?
- İş ve operasyonel gereksinimlere dayalı olarak kuruluşunuzun yazılım envanterinin güncel bir listesini oluşturun ve güncel tutun ve bunların sürekli olarak izlenmesini sağlayın. Gerekli görülmeyen mevcut araçlar, kaldırma için değerlendirilmelidir.
- Saldırganların sistemleri istismar etmesine yardımcı olabilecek araçların kullanımını kısıtlayın. Bir çalışan bu araçları kullanmak isterse, kullanımları sınırlı bir süre için onaylanmalıdır (uygulama kontrol politikaları yoluyla)
- İş istasyonlarındaki temel (olağan) etkinliği keşfedin ve kaydedin; bu tür araçların anormal kullanımı işaretlenmelidir. Örneğin, birden fazla yönetici aracının aniden ortaya çıkması ve kullanılması şüphe uyandırmalıdır.
- Bu yazılım uygulamalarındaki potansiyel güvenlik açıklarının kötü amaçlı amaçlarla kullanılmasını önlemek için düzenli olarak yama uygulanmış ve güncellenmiş araçlar kullanın.