Ya BT sistemlerini korumak için tasarlanan araçlar, kötü niyetli aktörler için bir ağ geçidi olan “hain yazılım” haline gelirse?
Huntress’te deneyimli bir Güvenlik Mühendisi olan Adam Rice, bu tür bir araç olan Splunk’ta gizlenen böylesine potansiyel bir tehlikeyle karşılaştı.
Önde gelen bir günlük alma aracı olarak geniş çapta tanınan Splunk, çok büyük miktarda veri toplamak ve analiz etmek için muazzam bir güce sahiptir.
Ancak Rice’ın keşfi, bu güvenilir yazılımı uygun bir şekilde “hain yazılım” olarak adlandırdığı şeye dönüştüren bir kusuru ortaya çıkardı.
Rice, Splunk’ın temel özelliklerinin nasıl silah haline getirilebileceğini ve hassas verilere ve sistem güvenliğine yönelik üzücü bir tehdit oluşturabileceğini ortaya çıkardı.
Bu sinsi fenomen, görünüşte zararsız araçlar kötü amaçlı eylemler gerçekleştirmek için kendilerine duyulan güvene ihanet ettiğinde ortaya çıkar ve kuruluşları hain istismarlara karşı savunmasız bırakır.
Siber güvenlik haberlerinde kötü amaçlı yazılım düzenli olarak ortaya çıksa da, herhangi birinin güvenilir BT sistemlerinde ‘hain yazılım’ oluşturma olasılığı nadiren tartışılır.
Hain yazılımları tespit etme
Rice’ın araştırmasının kalbi, uzaktan kod yürütme (RCE) özelliğiyle tanınan bir bileşen olan Splunk Universal Forwarder (UF) etrafında dönüyordu.
Dikkate değer bir şekilde Rice, kötü niyetli bir altyapı oluşturmak için özel Splunk yapılandırmalarına odaklanmak yerine RCE’ye başvurmadan konsept kanıtını gerçekleştirdi.
Rice, Splunk içindeki basamaklı yapılandırma dosyalarını ustaca manipüle ederek, günlükler için aldatıcı bir çıktı oluşturdu – kontrolü altındaki kötü niyetli bir rsyslog sunucusu.
Titiz denemeler yoluyla, siber suçlular tarafından kötü niyetli eylemleri için yasal yazılım ve işlevlerden yararlanmak için kullanılan bir teknik olan Splunk’ı “karadan uzakta yaşayan” bir komuta ve kontrol (C2) sunucusu olarak kullanmanın tüyler ürpertici yeteneklerini gösterdi.
Bu istismarın başarısı, şüphe uyandırabilecek mevcut yapılandırmaların üzerine yazmaktan stratejik olarak kaçınarak, belleğe yüklenen outputs.conf dosyasına yapılandırmalar ekleyebilme becerisine bağlıydı.
Rice, özel olarak hazırlanmış yapılandırmalardan oluşan yeni bir Splunk uygulamasını devreye alarak önemli bir atılım gerçekleştirdi.
Kurulumu, Splunk’ın amaçlanan işlevselliğinden etkili bir şekilde yararlanarak, meşru günlük akışları arasında göze çarpmadan kalırken, güvenliği ihlal edilmiş sistemlerden veri sızmasına olanak sağladı.
“Bulduğum şey sadece mümkün değil, aynı zamanda yetenekler açısından da korkutucu. Bunlar kolay mimari değişikliklerle çözülebilecek sorunlar olduğu için daha geniş topluluğu bilgilendirmek istiyorum,” diye yazmıştı Rice hain yazılımlarla ilgili ilk raporunda.
Splunk, kurumsal ortamlarda yaygın olarak kullanılan güçlü bir günlük toplama aracıdır. Teknik uygulamalar (TA’lar) ve eklentiler aracılığıyla geliştirilebilen çeşitli özellikler ve işlevler sunar.
Bu uygulamalar, belirli dizinleri izlemek için basit yapılandırma dosyalarından yürütülebilir kod özelliklerine sahip karmaşık kullanıcı arabirimlerine kadar çeşitlilik gösterir.
Dikkate değer bir örnek, Splunk’ın Windows ana bilgisayarlarından bilgi toplama yeteneklerini genişleten Windows için Splunk Eklentisidir.
Bu eklenti oldukça popülerdir ve 415.000’den fazla indirilmiştir (yazım tarihi itibariyle). Splunk Universal Forwarder’ın (UF), PowerShell betiklerinden ve özel girdilerden yararlanarak sistemden ek günlük verileri toplamasını sağlar.
Araştırmasını daha da ileri götüren Rice, Splunk UF’nin sistemde bir Uzaktan Erişim Truva Atı (RAT) olarak kullanıldığı ve uzak bir sunucudan isteğe bağlı PowerShell komutları almasına olanak tanıyan bir senaryo oluşturdu.
Bunu başarmak için Splunk tarafından sağlanan PowerShell giriş işlevinden yararlanan özel bir Splunk uygulaması kullandı.
Rice, bulgularının Splunk içindeki güvenlik açıkları veya hatalar olarak yanlış yorumlanmaması gerektiğini açıkladı. Kötüye kullanım olasılığı, araç tarafından desteklenen yapılandırma ayarları aracılığıyla gerçekleşir.
The Cyber Express’e konuşan Adam Rice, “Bu gösteri için Splunk’ı seçtim çünkü en sevdiğim araçlardan biri ve bu saldırıların ne kadar basit olabileceğinin iyi bir örneğini sağladığını hissettim.”
“Ağınıza ve altyapınıza, IAM’ye veya hassas verilerinize geniş bir erişim yelpazesine sahip herhangi bir araç veya yazılım parçası, hain yazılım olarak istismar edilme potansiyeline sahiptir. Bu şekilde kötüye kullanıldığını gördüğümüz en yaygın yazılım türlerinden biri, diğerlerinin yanı sıra ConnectWise Control, Anydesk ve Pulseway gibi RMM araçlarıdır.”
Bu bizi önemli bir soruya getiriyor: Herhangi bir güvenlik sistemi hain yazılıma dönüşebilir mi? Onları kötü amaçlı yazılımlardan nasıl ayırt ederiz?
Hain yazılım tam olarak nedir?
“Siber güvenlik bağlamında hain yazılım, kötü niyetli eylemler gerçekleştirmek için kendisine duyulan güvene ihanet eden yazılım veya sistemlere atıfta bulunabilir. Rice The Cyber Express’e verdiği demeçte, bu teknikler genellikle kötü amaçlı yazılımı hazırlamak veya kötü amaçlı yazılımı dağıtmak için bir nokta sağlamak için kullanıldıkları için kötü amaçlı yazılımdan farklıdır.
OPSWAT Ürün Başkan Yardımcısı Itay Glick’e göre, hain yazılım, kötü niyetli eylemleri gerçekleştirmek için meşru yazılımlardan veya güvenilir işlevlerden yararlandığı için geleneksel kötü amaçlı yazılımlardan farklıdır.
“Geleneksel kötü amaçlı yazılım, sistemleri bozmak veya verileri çalmakla ilgilidir. Hain yazılım, hassas bilgileri gizlice toplamaya veya kullanıcı etkinliklerini izlemeye odaklanıyor,” dedi Glick The Cyber Express’e.
“Bunu özellikle endişe verici kılan şey, aldatıcı doğasıdır, çünkü çoğu zaman meşru yazılım veya cihazlar kılığına girerek kullanıcıların varlığını algılamasını zorlaştırır.”
Hain yazılım, kötü amaçlı hedeflerine ulaşmak için genellikle işletim sistemi bileşenleri veya yüklü araçlar olmak üzere yazılımın mevcut özelliklerini ve yeteneklerini kullanır.
Splunk olması gerekmez, bu tür yazılımlara duyulan doğal güvenden yararlanabilir, bu da geleneksel güvenlik önlemlerini atladığı ve uzun süre fark edilmeden kalabileceği için onu özellikle endişe verici hale getirir.
“Endişe, bu tür platformların kötüye kullanılmasından kaynaklanmaktadır. Güvenlik araçlarını tehditlere karşı kim izliyor? Bu Laton alıntısına bayılıyorum ‘Quis custodiet ipsos custodes?’, yani ‘gardiyanları kim koruyacak?’,” dedi Rice.
Hain yazılımlarla nasıl mücadele edilir
Siber güvenlik uzmanları, yasal BT güvenlik yazılımını hain yazılıma dönüştürmenin yolları olduğuna oybirliğiyle işaret ediyor. Ancak, hain yazılımları tespit etme teknikleri söz konusu olduğunda görüşleri büyük ölçüde değişir.
Comparitech tüketici gizliliği savunucusu Paul Bischoff The Cyber Express’e “Hain yazılımın yazıcı noktalarından DRM yazılımına kadar pek çok biçimi olduğu için işe yarayan genel yönergeler olduğunu düşünmüyorum” dedi.
Bunun için geçerli bir nedeni var: hain yazılımın tanımı süreçleri de kapsıyor. The Cyber Express’in bağlantı kurduğu güvenlik araştırmacıları, hain yazılım benzeri saldırıların bazı örneklerini listelediler, örneğin:
- Yetkisiz erişim elde etmek veya hassas bilgileri toplamak için yönetim veya izleme araçlarını kötüye kullanma.
- Yetkisiz bağlantılar kurmak veya uzak sistemleri kontrol etmek için meşru uzaktan erişim yazılımını kullanmak.
- Kötü amaçlı yükler teslim etmek veya güvenliği ihlal edilmiş sistemlerde kalıcılık kazanmak için güvenilir yazılım güncelleyicileri manipüle etme.
- Koruma mekanizmalarını devre dışı bırakmak veya atlamak için virüsten koruma veya güvenlik yazılımını bozma.
- Yetkisiz sistem değişiklikleri veya veri hırsızlığı için sistem yönetimi araçlarından yararlanma.
Ancak OPSWAT’tan Glick, beklenmeyen veri kullanımı veya ağ etkinliği, açıklanamayan pil tüketimi, artan cihaz ısınması, olağandışı pop-up’lar veya sistem davranışı veya ayarlarda veya izinlerde açıklanamayan değişiklikler gibi belirli göstergelerin kırmızı bayrak olarak kullanılabileceğini söyledi.
“Arka planda çalışan şüpheli işlemler veya cihazda görünen bilinmeyen uygulamalar da hain yazılımın varlığının uyarı işaretleri olabilir. Bunların bir kısmı sandbox teknolojisi ile tespit edilebilir” dedi.
Hain yazılımın varlığını tespit etmek, genellikle güvenilir yazılımların sınırları içinde çalıştığı için zor olabilir. Ancak, bireylerin veya kuruluşların bakabileceği bazı teknikler ve göstergeler vardır:
- Beklenmeyen veya yetkisiz ağ bağlantılarını veya trafik modellerini izleme.
- Artan kaynak kullanımı veya açıklanamayan sistem değişiklikleri gibi olağandışı sistem davranışlarının fark edilmesi.
- Sistemde çalışan şüpheli işlemleri veya hizmetleri belirleme.
- Anormallikler için günlükleri düzenli olarak gözden geçirmek ve sistem etkinliklerini denetlemek.
- Yazılım yapılandırmalarında veya ayarlarında beklenmeyen veya yetkisiz değişikliklere göz kulak olmak.
- Tanınmayan veya yetkisiz yazılım yüklemeleri veya güncellemeleri konusunda tetikte olmak.
Uygun güvenlik izleme ve olay müdahale uygulamalarıyla birlikte bu göstergeler, hain yazılımın varlığını belirlemeye yardımcı olabilir.
“Saygın antivirüs veya kötü amaçlı yazılımdan koruma yazılımı kullanarak düzenli güvenlik taramaları yapmak da potansiyel tehditlerin tespit edilmesine yardımcı olabilir. Çoklu tarama teknolojisinin kullanılması, bilinen hain yazılımlar için en yüksek algılama oranına ulaşılmasına da yardımcı olabilir,” dedi Glick.
Hain yazılım, bariz güvenlik sorunlarının yanı sıra gizlilik sorunlarını da gündeme getirerek etik ve yasal kaygıları artırıyor.
Hain yazılım ve yasal ve etik sorunlar
Yasal ve etik hususlar açısından, hain yazılımın kullanımı, kullanıcı gizliliği ve yazılıma olan güven konusunda endişelere yol açar.
Yetki alanına bağlı olarak, siber güvenlik ve mahremiyet endişelerini gidermek için yürürlükte olan düzenlemeler ve yönergeler olabilir.
Glick, “Bazı ülkelerde mahremiyetle ilgili endişeleri ele almak ve bireyleri yetkisiz gözetimden korumak için belirli düzenlemeler veya yönergeler var” dedi.
Örneğin, Avrupa Birliği’nin Genel Veri Koruma Yönetmeliği (GDPR) gibi veri koruma yasaları ve yönetmelikleri, bireysel gizlilik haklarını korumayı amaçlar ve kuruluşların kişisel verileri sorumlu bir şekilde işlemesini gerektirir.
Bu, hain yazılımdan kaynaklanan herhangi bir gizlilik ihlalinin yasal sorumluluğunu doğrudan onu barındıran kuruluşun omuzlarına yükler.
Glick, “Gizlilik politikalarını okumak, gizliliği artıran araçları kullanmak ve gizlilik haklarını destekleyen kuruluşları ve girişimleri desteklemek, bireylerin hain yazılım tehditleri karşısında gizliliklerini korumalarına da yardımcı olabilir” diye ekledi.
Compareitech’ten Bischoff, güvenilir, saygın üreticilerden ve geliştiricilerden donanım ve yazılım seçmekle başlayan durum tespiti, yasal sorumluluğun hafifletilmesine yardımcı olur.
“Hain yazılım, kullanıcıları onu etkinleştirmeleri için kandırmak üzere karanlık kalıplar kullanabilir; bu, aldatıcı ve bu nedenle yasa dışı olarak nitelendirilebilir. Etik olarak, hiçbir cihaz veya yazılım gizliliğinize ihanet etmemeli veya cihazınızın işlevselliğini arkanızdan değiştirmeye çalışmamalıdır” dedi.
Adam Rice, CISA’nın uzaktan erişim yazılımını güvence altına alan yeni kılavuzunu, bu araçların kötüye kullanılması tehdidine karşı kendilerini eğitmek isteyen kuruluşlar için mükemmel bir kaynak olarak reçete ediyor.
“RMM araçlarının dışında, tavsiyeleri genelleştirmek zordur. Kuruluşa geniş erişimi olan bir yazılım veya araç olduğunu varsayalım. O halde ‘Kötü niyetli bir kişi bu araca erişim sağlarsa ne kadar zarar verebilir’ diye sormalısınız” dedi.
“Yanıt” pek değil “den fazlaysa, bu aracın etrafına ek denetimler eklemeyi düşünmelisiniz. Bu kontroller tamamen aracın kendisine, nasıl dağıtıldığına ve çevresel bağlama bağlı olacaktır.”