USB sürücü saldırıları kötü amaçlı yazılım sunmak ve geleneksel ağ güvenlik önlemlerini atlatmak için USB cihazlarının günlük kullanımından yararlanarak önemli bir siber güvenlik riski oluşturur. Bu saldırılar, bir kuruluşun itibarı üzerinde kalıcı etkilerle veri ihlallerine, finansal kayıplara ve operasyonel aksamalara yol açar. Bir örnek, 2010 yılında keşfedilen Stuxnet solucanının, endüstriyel kontrol sistemlerini, özellikle İran’ın nükleer zenginleştirme tesislerini hedeflemek için tasarlanmış bir kötü amaçlı yazılımdır. Birden fazla sıfır günlük güvenlik açıklarından yararlandı ve öncelikle USB sürücülerinden yayıldı, bu da onu gerçek dünya fiziksel etkileri olan bir siber saldırının ilk örneklerinden biri haline getirdi. Stuxnet, çıkarılabilir medya risklerini ortaya çıkardı ve siber güvenlik tehditlerinin kritik altyapıya yönelik küresel farkındalığını artırdı.
USB sürücü saldırıları nasıl yayılır?
Saldırganlar, USB sürücüleri, bireyleri ve kuruluşları hedefleyen kötü amaçlı yükler sunmak için çeşitli yöntemler kullanırlar.
- Damla Saldırıları: Enfekte USB sürücüleri, kurbanları onları takmaya ve bilgisayarlarına bulaşmaya ikna etmek için otopark gibi kamusal alanlarda kasıtlı olarak bırakılır.
- Posta Tabanlı Saldırılar: USB sürücüleri, posta yoluyla hedeflere gönderilir, tanıtım öğeleri veya meşru cihazlar olarak gizlenir, onları sistemlerine takmak için kandırmak için.
- Sosyal Mühendislik: Saldırganlar kurbanları enfekte USB sürücülerini bilgisayarlarına bağlamaya ikna etmek için psikolojik taktikler kullanıyor.
- İstenmeyen tıkanma: Saldırganlar, enfekte USB sürücülerini katılımsız sistemlere takar ve kötü amaçlı yazılımları mağdur etkileşimi olmadan yayar.
USB sürücü saldırıları nasıl çalışır?
USB sürücü saldırıları tipik olarak sistemlere sızmak ve hasara neden olmak için çok aşamalı bir işlemi takip eder.
- Keşif: Saldırganlar potansiyel güvenlik açıklarını tanımlamak için hedeflerini araştırırlar. Bu durumda, USB sürücüsü kullanma olasılığını belirlemek için kuruluş, çalışanları ve operasyonel ortamı hakkında bilgi toplayabilirler.
- Silahlandırma: Tehdit oyuncuları, kötü amaçlı yazılım gömerek USB sürücüsünü hazırlar. Bu, sürücüyü doğrudan enfekte edilerek veya gizli kötü amaçlı kod içeren bir belge, video veya görüntü gibi görünüşte iyi huylu bir dosya hazırlanarak elde edilebilir.
- Teslimat: Saldırganlar, enfekte USB sürücüsünü halka açık alanlara bırakarak, promosyon öğesi olarak vererek veya bunu teslim etmek için sosyal mühendislik kullanarak hedeflere dağıtıyor.
- Sömürü: Hedef USB sürücüsüne bağlandığında, kötü amaçlı yazılım otomatik olarak etkinleştirilir veya kullanıcı etkileşimi yoluyla sistem güvenlik açıklarından yararlanır.
- Kurulum: Kötü amaçlı yazılım hedef sistem üzerine kurulur ve kalıcılık kazanır. Bu adım, saldırganın yeniden başlatılmış veya bağlantısı kesilmiş olsa bile enfekte cihazın kontrolünü korumasını sağlar.
- Komut ve Kontrol (C2): Kötü amaçlı yazılım saldırganın sunucusu ile iletişim kurar. Bu, saldırganın komutlar vermesini, verileri dışarı atmasını veya ek yükleri dağıtmasını sağlar.
- Hedefler Üzerine Eylemler: Saldırganlar, hassas verileri çalmak, fidye yazılımı dağıtmak veya gelecekteki sömürü için kalıcı erişim sağlamak gibi hedeflerine ulaşır.
 |
| Şekil 1: USB sürücü saldırılarının nasıl çalıştığını gösteren adımlar. |
Wazuh ile USB sürücü saldırılarına karşı siber güvenlik duruşunuzu geliştirin
Wazuh, kuruluşların bilgi etkinliklerinden kritik olaylara kadar sistem faaliyetlerini izleyerek güvenlik tehditlerini tespit etmesine ve bunlara yanıt vermelerine yardımcı olan açık kaynaklı bir güvenlik platformudur. Kuruluşlar, USB etkinliğini Wazuh ile izleyerek proaktif olarak ihlalleri önleyebilir ve hassas verileri koruyabilir.
Wazuh kullanarak Windows’ta USB sürücü etkinliklerini izleme
Wazuh, Denetim PNP etkinliği özelliğini kullanarak Windows uç noktalarında USB sürücü etkinliklerini izler. Bu özellik, USB sürücülerinin ne zaman bağlandığını tanımlamaya yardımcı olan tak ve oynatma (PNP) olaylarını günlüklendirir. Windows 10 Pro ve Windows 11 Pro, Windows Server 2016 ve sonraki sürümlerde bulunabilir.
Kuruluşlar Wazuh’u, özellikle harici bir cihazın ne zaman bağlandığını gösteren Windows olay kimliği 6416’ya odaklanan belirli sistem olaylarını algılamak ve USB ile ilgili olayları izleyecek şekilde yapılandırabilir. Güvenlik yöneticileri, potansiyel güvenlik olaylarını tanımlamak için wazuh özel kuralları oluşturarak USB cihaz bağlantılarını algılayabilir.
Bir sonraki adım, izin verilen cihazların benzersiz aygıt tanımlayıcılarının (cihazID) sabit bir veritabanı (CDB) oluşturulmasını içerir. Bu liste, Wazuh’un yetkili ve yetkisiz cihazlar arasında ayrım yapmasını ve her iki kategoriye de uyarı oluşturmasını sağlar. Örneğin, yetkili bir USB sürücüsü takıldığında, daha düşük seviyeli bir uyarıyı tetiklerken, yetkisiz bağlantılar potansiyel bir güvenlik ihlalini gösteren yüksek şiddetli uyarılar oluşturabilir.
 |
| Şekil 2: İzlenen Windows uç noktasındaki USB sürücü eklenti olayları. |
 |
| Şekil 3: Yetkili USB sürücü olayı. |
 |
| Şekil 4: Yetkisiz USB sürücü olayı. |
Tehdit Tespit Kullanımı Vaka: Ahududu Robin USB-Drive faaliyetlerinin tespiti
Wazuh, Windows tabanlı bir solucan Raspberry Robin gibi USB ile ilgili tehditleri azaltmak için bir çözüm sunar.
Raspberry Robin, petrol, gaz, ulaşım ve teknoloji gibi endüstrileri hedefliyor ve operasyonel kesintilere neden oluyor. Gizli .lnk dosyaları aracılığıyla yayılır, UserASsist kayıt defterini güncelleyerek kalıcılık kazanır ve meşru klasörleri taklit eder. Solucan, ek kötü amaçlı bileşenleri yürütmek, devam ettirmek ve indirmek için msiexec.exe, rundl32.exe, Odbcconf.exe ve fodhelper.exe gibi meşru pencereler süreçlerini kullanır. Giden iletişim için Tor tabanlı komut ve kontrol (C2) sunucularına güvenmesi gizli ekler ve algılamayı karmaşıklaştırır.
Wazuh, kayıt defteri modifikasyonlarını, olağandışı komut yürütme modellerini ve şüpheli sistem ikili dosyalarını izleyerek ahududu robin’i algılar. Gerçek zamanlı dosya bütünlüğü izleme ve tehdit algılama kuralları kötü niyetli aktiviteyi belirleyerek potansiyel kesintileri azaltmaya hızlı yanıt sağlar.
Wazuh, Şüpheli Etkinlikleri izleyerek ve yanıtlayarak Ahududu Robin’i tespit eder ve hafifletir:
- Anormal CMD.EXE Aktiviteleri: Şüpheli süreçlerin sonlandırılması veya etkilenen uç noktaların izole edilmesi.
- Msiexec.exe indirmelerini işaretleme belirsiz alanlardan, bağlantıları engelleme ve yöneticilerden uyarıdan.
- Fodhelper.exe üzerinden UAC bypass’ı algılamasüreci sonlandırmak ve yöneticileri bildirmek.
- Olağandışı giden bağlantıların engellenmesi Rundll32.exe ve dllhost.exe tarafından.
Aşağıda, olası ahududu robin aktivitelerini tespit eden örnek bir özel kural yapılandırması bulunmaktadır.
92004
(?i)cmd\.exe$
(?i)cmd\.exe.+((\/r)|(\/v\.+\/c)|(\/c)).*cmd
Possible Raspberry Robin execution on $(win.system.computer)
T1059.003
61603
(?i)msiexec\.exe$
(?i)msiexec.*(\/q|\-q|\/i|\-i).*(\/q|\-q|\/i|\-i).*http[s]{0,1}\:\/\/.+[.msi]{0,1}
msiexec.exe downloading and executing packages on $(win.system.computer)
T1218.007
61603
(?i)(cmd|powershell|rundll32)\.exe
(?i)fodhelper\.exe
Use of fodhelper.exe to bypass UAC on $(win.system.computer)
T1548.002
61603
(regsvr32\.exe|rundll32\.exe|dllhost\.exe).*\";document.write\(\);GetObject\(\"script:.*\).Exec\(\)
Possible Raspberry Robin execution on $(win.system.computer)
T1218.011
 |
| Şekil 5: izlenen bir pencere uç noktasında tespit edilen ahududu robin IOC’ler ve davranışlar. |
 |
| Şekil 6: İzlenen bir Windows uç noktasında tespit edilen ahududu robin IOC’leri gösteren bir uyarı. |
Wazuh kullanarak ahududu robin solucanını tespit etme hakkında daha fazla bilgi için lütfen bu blogu ziyaret edin.
Wazuh kullanarak Linux’ta USB sürücülerini izleme
USB sürücüleri, kötü amaçlı yazılım ve yetkisiz veri erişimi için potansiyel vektörler olarak Linux uç noktalarına güvenlik riskleri de getirebilir. Udev, Linux’ta, takılı olduğunda USB sürücüleri gibi harici aygıtları otomatik olarak algılayan ve yöneten bir sistem yardımcı programıdır. Sistemin onlarla etkileşime girebilmesi için /dev dizininde gerekli cihaz dosyalarını oluşturur. Yöneticiler, USB etkinliği hakkında bilgi vererek ayrıntılı etkinlikler oluşturan özel Udev kuralları oluşturabilir. Wazuh, USB izleme için yerleşik kurallara sahiptir, ancak Udev tarafından oluşturulan olaylar daha zengin ayrıntılar sağlar ve tehdit tespitini geliştirir.
Bir USB aygıtı bağlandığında bir günlük komut dosyasını tetiklemek için Linux uç noktalarımızdaki Udev kurallarını yapılandırırız. Wazuh aracısı, Logging komut dosyasından üretilen oluşturulan JSON günlük dosyasını okumak için ayarlanmalı ve USB etkinliğini işlemesine ve analiz etmesine izin vermelidir.
Windows USB sürücü izlemesi gibi, yetkili USB aygıt seri numaralarının sabit bir veritabanı (CDB) listesine ihtiyacınız var. Wazuh, gelen bağlantıları bu listeye göre karşılaştırarak yetkisiz cihazlar için uyarıları tetikleyecektir.
 |
| Şekil 7: İzlenen bir Linux uç noktası için USB sürücü uyarıları. |
 |
| Şekil 8: İzlenen bir Linux uç noktasında yetkisiz bir USB sürücü olayı. |
WazUh kullanarak Linux’ta USB sürücülerini izleme blog yazısı, Linux uç noktalarına takılı USB sürücülerinin izlenmesi hakkında daha fazla bilgi sağlar.
Wazuh kullanarak macOS’ta USB sürücülerini izleme
MacOS uç noktalarındaki USB cihazlarıyla ilgili kritik olayları günlüğe kaydetmek için özel bir komut dosyası kullanabilir ve ardından bu olayları izleyecek şekilde Wazuh’u yapılandırabilirsiniz. Yöneticiler, bağlantı ve bağlantı kesme olayları, satıcı kimlikleri, ürün kimlikleri ve USB sürücülerinin seri numaraları gibi bilgileri çıkarabilir. Bu komut dosyası, daha sonra JSON olarak biçimlendirilen ve bir günlük dosyasına kaydedilen USB aygıt bilgilerini toplamak için MacOS’un G/Ç kiti çerçevesiyle etkileşime girer. Bu özel komut dosyasından oluşturulan günlük verileri, wazuh aracısı kullanılarak analiz için wazuh sunucusuna gönderilir.
Wazuh’u kullanarak macOS’taki USB sürücülerini izleme blog yazısı, macOS uç noktalarındaki USB sürücülerini izleme adımlarını gösterir.
 |
| Şekil 9: USB sürücüsü izlenen macOS uç noktasında uyarılar. |
 |
| Şekil 10: İzlenen MacOS uç noktasında yetkisiz USB sürücü uyarısı. |
Çözüm
USB sürücü saldırıları, ana işletim sistemlerinde güvenlik riski oluşturur ve kötü amaçlı yazılımların yayılmasını ve kötü amaçlı aktörlere yetkisiz erişim sağlar.
Wazuh, USB tahrik saldırılarını tespit etme ve potansiyel etkiyi azaltma şansını artırmak için çeşitli tespit mekanizmaları sunar. Kuruluşlar, bu algılama yöntemlerini entegre ederek ve katı USB erişim politikalarını uygulayarak siber güvenliği artırabilir.