CAMO (Ticari Uygulamalar, Kötü Amaçlı İşlemler), saldırganların güvenlik savunmalarını aşmak için meşru BT araçlarına giderek daha fazla güvendiğini ve bu araçların fidye yazılımı dağıtımı, ağ taraması, yanal hareket ve C2 kurulumu gibi çeşitli kötü amaçlı faaliyetler için kullanılabildiğini ortaya koyuyor.
Soruşturmalar sırasında güvenlik personelini yanıltabilir ve başarılı ihlallere yol açabilir. Kuruluşlar, mevcut BT araçlarının bir tabanını oluşturmak, kötü amaçlı faaliyetleri tespit etmek ve bu tür saldırıları önlemek için uygun azaltma önlemlerini uygulamak için GreyMatter Hunt paketlerini kullanmalıdır.
Relia Quest raporu, tehdit aktörleri tarafından kötü amaçlı operasyonlar (CAMO) için ticari uygulamaların kötüye kullanılmasında önemli bir artış olduğunu vurguluyor.
Bir zamanlar BT yönetimi ve dağıtımı için meşru araçlar olan bu uygulamalar, artık saldırıları geliştirmek ve tespit edilmekten kaçınmak için kullanılıyor.
Kuruluşların CAMO ile ilişkili riskleri tanımaları ve azaltmaları için politikalar, kontroller ve tehdit algılama yetenekleri gibi sağlam güvenlik önlemlerini uygulamalarının gerekliliğini vurgular.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Saldırganların kullandığı teknikleri anlayarak ve bu tehditlere proaktif bir şekilde yanıt vererek kuruluşlar değerli varlıklarını daha iyi koruyabilir ve siber saldırıların başarılı olma olasılığını azaltabilirler.
Gizli bir saldırı tekniği olan CAMO, kötü amaçlı amaçlar için meşru yazılımların amaçlanan işlevlerini kullanır.
Yerel sistem yardımcı programlarına dayanan LOLBAS’ın aksine CAMO, genellikle geçerli kod imzalama sertifikalarına sahip olan ve güvenlik politikalarını atlatan açık kaynaklı, serbestçe erişilebilen veya yasa dışı olarak değiştirilmiş araçlar kullanır.
Kuruluşların eksik araç envanterleri ve araçların meşru yapısı, tespiti engelliyor; bu da saldırganların tespit edilmeden faaliyet göstermesine olanak tanıyor, tehditlere yanıt vermeyi zorlaştırıyor ve saldırıların başarılı olma riskini artırıyor.
Siber suçlular, çevrimiçi forumlarda kötü amaçlı amaçlar için meşru araçların kullanımını sıklıkla tartışıyorlar; saldırganların genellikle PDQ Deploy gibi yazılım dağıtım araçlarını, Rclone gibi bulut depolama araçlarını, SoftPerfect gibi ağ tarayıcılarını ve gizli operasyonlar için AnyDesk gibi uzaktan yönetim araçlarını kullandığı tespit edildi.
Relia Quest raporunda, bu araçların tespit edilmekten kaçınma ve daha az yetenekli saldırganlar için giriş engellerini azaltma gibi avantajlar sunduğu belirtiliyor.
Bu araçların kırılmış sürümlerinin yaygın olarak paylaşılması, bunların kötüye kullanılmasını daha da kolaylaştırıyor ve saldırganların önemli bir yatırım yapmadan zararlı saldırılar gerçekleştirmesine olanak tanıyor.
İncelenen vakalardaki tehdit aktörleri tespit edilmekten kaçınmak ve soruşturmaları engellemek için CAMO tekniklerini kullanmıştır.
PDQ Deploy ve Total Software Deployment gibi meşru araçları kullanarak kötü amaçlı eylemleri rutin ağ operasyonlarına dahil ettiler.
PDQ Deploy, fidye yazılımlarını yaymak için kullanılırken, Total Software Deployment, ScreenConnect’in kurulumu yoluyla yatay hareketi kolaylaştırdı.
Bu CAMO araçları, bu tür tehditleri azaltmak için ağ segmentasyonu ve uygulama beyaz listelemenin uygulanmasının önemini vurgulayarak geleneksel savunma önlemlerine meydan okudu.
“Inc Ransom” ve “Black Basta” fidye yazılımı grupları, sistemleri tehlikeye atmak ve verileri sızdırmak için meşru BT araçları olan SoftPerfect ve AnyDesk’i kullandı.
SoftPerfect, ağları taramak ve güvenlik açıklarını tespit etmek için kullanılırken, AnyDesk, tespit edilmekten kaçınmak ve meşru operasyonlara karışmak için kullanılan kötü amaçlı faaliyetlere uzaktan erişim sağlıyordu.
Relia Quest’e göre, bu tehditleri azaltmak için kuruluşlar yetkisiz bulut hizmetlerini engellemeli, RMM araçlarını kısıtlamalı ve şüpheli faaliyetleri izlemelidir.
Hepsi Bir Arada Siber Güvenlik Platformuyla Siber Saldırı Senaryolarını Simüle Etme – Ücretsiz Web Seminerini İzleyin