Çok dilli dosyalar çeşitli dosya formatı özelliklerine uymalı ve çağıran programa bağlı olarak farklı yanıtlar vermelidir.
Bu durum, esas olarak analiz için biçim tanımlamasına dayanan uç nokta algılama ve yanıt (EDR) sistemleri ve dosya yükleyicileri için önemli bir risk oluşturmaktadır.
Poliglotlar, doğru sınıflandırmadan kaçınarak kötü amaçlı yazılım tespit sistemlerinde bulunan özellik çıkarma rutinlerini veya imza karşılaştırmalarını atlayabilirler.
Oak Ridge Ulusal Laboratuvarı ve Assured Information Security’den araştırmacıların yaptığı araştırma, poliglotların ticari EDR araçları için tehdit oluşturduğunu, bazı satıcıların yaptığı testler sırasında kötü niyetli poliglotların %0 oranında tespit edildiğini göstermektedir:
- Luke Koch
- Sean Oesch
- Amul Chaula tekrar
- Jared Dixon
- Matthew Dixon
- Mike Huettal
- Emir Sadovnik
- Cory Watson
- Brian Weber
- Yakup Hartman
- Richard Patulski
Etkili kötü amaçlı yazılım tespiti için standart formatlara bağımlılık, birden fazla formatta geçerli dosyaların oluşturulabileceği bu tür saldırılara karşı onu savunmasız hale getirir.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo
Vahşi Doğada Kullanılan Çok Dilli Dosyalar
Bilgisayar güvenliği araştırmalarında kritik bir boşluk var çünkü hiç kimse tehdit aktörlerinin bu eserleri nasıl kullandıkları ve nasıl tespit ettikleri konusunda kapsamlı bir çalışma yapmadı.
Zararlı yazılım saldırılarında çok dilli dosyaların APT gruplarının taktiklerinde önemli bir rol oynadığı tespit edildi.
Analiz yapabilmek için gerçek hayattaki çok dilli yaratım yöntemlerini taklit eden Fazah adlı bir araç geliştirdiler.
Araştırmacılar, çok dillilerin hem ikili hem de çok etiketli sınıflandırmalarında %99’un üzerinde F1 puanı elde eden derin öğrenme modeli PolyConv’u eğittiler.
Bunlar, dosyaları tanımlamak için kullanılan mevcut araçlarla karşılaştırıldığında çok etkili değildi.
.webp)
Görüntü tabanlı poliglotlar için en popüler yöntem, %100 etkili bir şekilde temizlemede YARA kurallarından daha verimli olan özel CDR aracı (ImSan) aracılığıyla oldu.
Bu araştırma, bu gelişmiş tehdide karşı siber güvenlik savunmalarındaki temel boşlukları, bu tehditleri tespit etme ve azaltma teknikleri ve çok dilli format tespit stratejileri hakkında farkındalık yaratarak doldurmaktadır.
.webp)
Tehdit aktörleri tespit edilmekten kaçınmak ve ticari güvenlik araçlarını atlatmak için sıklıkla çok dilli kullanıcıları kullanırlar.
Siber saldırı zincirlerinde bulunan 30 farklı poliglot örnekten 15 tanesi tespit edildi.
Yaygın kombinasyonlar, Lazarus ve IcedID gibi gruplar tarafından kullanılan JAR+JPG ve HTA+CHM’dir.
.webp)
MalConv tabanlı PolyConv ve CatBoost makine öğrenme modellerini kullanan PolyCat, bayt düzeyindeki özellikler ve formattan bağımsız yaklaşımlar aracılığıyla çok dilliliklerin tespitinde cesaret verici sonuçlar göstermektedir.
.webp)
Mime-type ve n-gram özelliklerinin eklenmesiyle PolyCat’in performansı artırıldı.
Bu nedenle, çok dilli kişileri tespit etmek, ilerleyen tehlikelere karşı siber güvenlik savunmamızı artırmanın önemli bir yolu haline geliyor.
Öneriler
Aşağıda tüm önerilerimizi belirttik:
- Çok Dillilik Algılama
- Mevcut İmza Tabanlı Araçlar
- Dosya biçimi özellikleri
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files