Tehdit aktörleri, güvenlik önlemlerini atlatmalarını ve sistemlere yetkisiz erişim sağlamalarını sağladığı için genellikle meşru yazılımları kötü amaçlı amaçlar için kullanırlar.
Meşru yazılımlar kullanarak tehdit aktörleri tespit edilmekten kaçınabilir ve normal ağ trafiğine karışabilir; bu da savunmacıların saldırıyı tespit etmesini ve hafifletmesini zorlaştırır.
ReliaQuest’teki güvenlik araştırmacıları yakın zamanda tehdit aktörlerinin gizli siber saldırılar için meşru yazılımları aktif olarak kullandığını tespit etti.
Meşru Yazılımı Kullanan Bilgisayar Korsanları
ReliaQuest, Ocak-Ağustos 2024 arasında geçerli yazılım CAMO’su (Kötü Amaçlı İşlemler İçin Ticari Uygulamalar) ile ilgili siber olaylarda can sıkıcı ve önemli bir artış olduğunu belgeledi.
Bu taktik, 2023’e kıyasla %16’lık bir artışla, tüm kritik klavye başındaki olaylarının %60’ında kullanıldı.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Ancak CAMO aktörü, PDQ Deploy, Total Software Deployment (TSD) gibi yaygın BT araçlarını ve AnyDesk veya ScreenConnect gibi RMM yazılımlarını kullanır.
Bu araçlar çoğunlukla saldırı durdurma zincirinin birçok aşamasında kullanılmış olan geçerli kod imzalama sertifikalarıyla birlikte bulunur.
Örneğin, Medusa fidye yazılımı grubu, fidye yazılımını yaymak ve yürütmek için PDQ Deploy’u kullanırken, Inc Ransom grubu ağ keşfi için SoftPerfect NetScan’i ve veri sızdırma için Restic’i (kılık değiştirmiş haliyle “winupdate.exe”) kullandı.
.webp)
Black Basta fidye yazılımı grubu, komuta ve kontrol (C2) kanalları kurmak için RMM araçlarını kullanarak sosyal mühendislik kampanyaları başlattı.
CAMO, bu meşru araçların sıklıkla güvenlik politikalarını atlatması ve normal BT operasyonlarıyla kolayca karışması nedeniyle benzersiz zorluklar ortaya çıkarır; bu da tehdit algılama ve olay müdahalesini karmaşık hale getirir.
CAMO tabanlı saldırıları azaltmak için kuruluşlara, aşağıdakileri içeren derinlemesine savunma stratejileri uygulamaları önerilir:-
- VLAN ve DMZ’leri kullanarak ağ segmentasyonu.
- Windows Defender Uygulama Denetimi (WDAC) veya AppLocker aracılığıyla uygulama beyaz listeye alma.
- RMM aracının kullanımında sıkı kontroller.
Ayrıca araştırmacılar, CAMO farkındalığını olay müdahale planlarına, penetrasyon testlerine ve risk değerlendirmelerine dahil etmeleri konusunda da uyarıldı.
Sadece bunlar değil, aynı zamanda yetkisiz bulut servislerinin engellenmesi ve hassas verilere erişimin izlenmesi gibi veri sızdırma önleme tedbirlerinin uygulanmasını da önerdiler.
Tehdit aktörleri uzun vadede kötü amaçlı faaliyetler için CAMO, AnyDesk ve PDQ Deploy gibi meşru BT araçlarını kullanmaya devam edecekler.
Bu eğilim, siber suç forumlarındaki olaylarda ve tartışmalarda sıklıkla kullanılmalarından anlaşılıyor.
“Cozy Bear” gibi ulus-devlet gruplarının, Microsoft OneDrive’ı veri sızdırma amacıyla kullanarak, meşru davranışları gelişmiş özel kötü amaçlı yazılımlara (CloudDuke) dahil etme olasılığı yüksektir.
Bu kalıcılık, araçların etkinliği ve farklı tehdit aktörlerinin çeşitli ihtiyaçlarından kaynaklanmaktadır.
Hepsi Bir Arada Siber Güvenlik Platformuyla Siber Saldırı Senaryolarını Simüle Etme – Ücretsiz Web Seminerini İzleyin