Kötü amaçlı yazılım tehdidi ve tehdit aktörlerinin bunu kişisel bilgileri çalmaktan kullanıcıların cihazlarını tamamen ele geçirmeye veya botnet'lere eklemeye kadar her şeyi yapmak için nasıl kullandıkları hakkında sık sık yazıyorum. Bu kötü amaçlı programlar, çeşitli kimlik avı biçimleri, ClickFix saldırıları, kötü amaçlı reklamcılık ve hatta Apple ve Google tarafından incelenip onaylanan uygulamalar yoluyla yayılıyor.
Ancak kullanıcılar (ve güvenlik araçları) kötü amaçlı yazılım bulaşmasının belirtilerini tespit etme konusunda daha iyi hale geldikçe ve ilk etapta bunlardan kaçınacak kadar bilgi sahibi oldukça, bazı siber suçlular taktiklerini değiştirdi: Karada Yaşamak (LOTL) saldırıları, kırmızı bayrak çıkarma olasılığı daha düşük olan yerleşik sistem yardımcı programlarından ve araçlarından yararlanır.
Karada Yaşamak saldırıları nasıl işliyor?
Huntress'in tanımladığı gibi LOTL, dışarıdan yenilerini ithal etmek yerine yerel kaynakların kullanılmasını ifade ediyor. Saldırganlar, özel olarak oluşturulmuş kötü amaçlı yazılımları bir kullanıcının makinesine gizlice sokmak yerine, PowerShell, Windows Yönetim Araçları (WMI), yerleşik yardımcı programlar ve Microsoft Teams gibi güvenilir uygulamalar gibi araçları kötü amaçlı amaçlarla kullanır. Antivirüs programlarının bu araçları şüpheli olarak işaretlemesi pek mümkün değildir (çoğu durumda değildir), çünkü bunlar normal sistem süreçlerine karışır ve sözde orada olmak.
Tehdit aktörleri meşru araçları ele geçirerek sistemlere ve ağlara erişebilir, uzaktan kod yürütebilir, ayrıcalıkları yükseltebilir, verileri çalabilir ve hatta diğer kötü amaçlı yazılım türlerini yükleyebilir. PowerShell komut satırı arayüzü, dosya indirmeye ve komut yürütmeye izin vererek onu WMI ile birlikte kötü aktörler için popüler bir araç haline getiriyor; ancak Unix ikili dosyaları ve imzalı Windows sürücüleri de sıklıkla istismar ediliyor.
LOTL saldırganları, yerel araçlara erişim kazanmak için kimlik avı veya diğer sosyal mühendislik biçimlerinin yanı sıra çalıntı kimlik bilgileri ve dosyasız fidye yazılımları yoluyla dosyasız kötü amaçlı yazılımları yayan yararlanma kitleri kullanabilir. Malwarebytes Labs kısa süre önce, saygın bir mobil cihaz yönetimi platformunda barındırılan bir saldırı sunucusu aracılığıyla meşru bir Windows cihaz kayıt özelliğinden yararlanmak amacıyla sahte Google Meet güncellemeleri yoluyla yayılan bir kampanya tespit etti.
Şu ana kadar ne düşünüyorsun?
LOTL saldırısı nasıl tespit edilir
LOTL saldırılarını tanımlamaya, ele almaya ve önlemeye yönelik birçok taktik, savunması gereken büyük altyapılara sahip kuruluşları hedef alır, ancak bireysel kullanıcılar da bu tür tehdide karşı tetikte olabilir (ve olmalıdır). Her zaman olduğu gibi, kötü aktörlerin kimlik bilgilerini çalmak ve ağlara ve cihazlara erişim sağlamak için kullandığı kimlik avı ve diğer sosyal mühendislik türlerine karşı dikkatli olun. Bağlantılar, yazılım ve güvenlik güncellemeleri hakkında bildirimler ve merak, endişe, aciliyet veya korku uyandıran herhangi bir şey içeren istenmeyen iletişimlere karşı dikkatli olun. Güvenlik açıklarından yararlanılmasını önlemek için güvenlik güncellemelerini çıktıkları anda yükleyin.
Özel olarak LOTL'nin tespit edilmesi söz konusu olduğunda Huntress, yalnızca şüpheli dosya veya programlardan ziyade olağandışı davranışların aranmasını önerir; örneğin, normal bağlamlarının dışında veya beklenmedik düzenlerde çalışan araçların yanı sıra sistem yardımcı programlarından gelen olağandışı ağ bağlantıları. Yaygın olarak yararlanılan araçların kullanımını izleyin ve günlüğe kaydedin ve uzaktan erişim araçlarını ve cihaz kayıtlarını denetleyin.
Bir yanıt yazın