Derinlemesine savunma mimarilerinin ve işletim sistemi güçlendirme teknolojilerinin uygulanması, tehdit ortamını değiştirdi. Tarihsel olarak, sıfır tıklama, tekil güvenlik açıkları yaygın olarak keşfedildi ve istismar edildi. Günümüzün savunma duruşu, saldırganların bir hedef sistemin kontrolünü ele geçirmek için birden fazla istismar tekniğini başarılı bir şekilde zincirlemelerini gerektirir. Dinamik analiz sistemlerinin artan kullanımı, saldırganları kullanıcıdan girdi veya eylem talep ederek algılamadan kaçmaya itmiştir. Bazen kurbanın, temel yük etkinleştirilmeden önce birkaç manuel adım gerçekleştirmesi gerekir. Aksi takdirde, davranışsal analiz yoluyla uykuda ve tespit edilemez kalır.

İstemci tarafı saldırıların, çoğu ilk erişim için baskın erişim vektörü olduğu iyi bilinmektedir. Web tarayıcısı ve e-posta tabanlı kötü amaçlı yazılım kampanyaları, kullanıcıları kimlik avı, sosyal mühendislik ve istismar yoluyla hedefler. Adobe ve Microsoft gibi satıcıların sağladığı üretkenlik ve iş araçları yaygındır ve saldırganlara birçok seçenek sunar. Güvenlik bilinci eğitimi eksikliğini ve iyi geliştirilmiş sosyal mühendislik taktiklerini birleştirmek, sıklıkla kullanıcıların, silahlaştırılmış makrolar veya diğer komut dosyaları gibi kötü niyetli yerleşik mantığın yürütülmesine izin vermesiyle sonuçlanır. Bu yaygın kötü amaçlı yazılım taşıyıcılarının analizi zaman alıcı ve sıkıcıdır ve uzman becerileri gerektirir. Bu tehditleri yeterince önlemek, tespit etmek ve bunlara yanıt vermek için bir kuruluş, her şeyi soruna atmalı ve daha önce insan yoğun olan bu süreci güçlendirmelidir.

Derin Dosya Denetimi (DFI), sürekli güvenlik izlemeyle ilişkili yükü hafifletmeye yönelik bir yaklaşımdır. DFI, OSI modelinin 7. Katmanının ötesini denetleyen ve temel olarak tipik SOC analistinizin veya güvenlik araştırmacınızın çalışmasını otomatikleştiren bir statik analiz motorudur. Bir tehdit aktörünün kullandığı kaçınma tekniklerinin karmaşıklığından bağımsız olarak, DFI, yerleşik mantığı, anlamsal bağlamı ve meta verileri ortaya çıkarmak için kötü niyetli taşıyıcıları inceler. Zorlayıcı grafik yemler
orijinal dosyanın anlamsal bağlamına eklenerek, bir yapay görme katmanı aracılığıyla ayıklanır ve işlenir. Yaygın olarak kullanılan gizleme yöntemleri ve kodlama mekanizmaları otomatik olarak keşfedilir ve deşifre edilir.

SOC analistlerinin, IR ekiplerinin ve güvenlik araştırmacılarının karşılaştığı genel bir endişe, algılama analitiği için bağlamın sınırlı kullanılabilirliğidir. İzinsiz giriş önleme sistemleri söz konusu olduğunda, kaynaklar mikro saniyelerle ve kilobaytlarca analiz edilebilir veriyle sınırlıdır. İzinsiz giriş tespit sistemleri tipik olarak daha derine inebilir ve daha fazla veriyi açığa çıkarmak için ek milisaniyeler alır.

Zaman analizi değiş tokuşu ile ilgili olarak, bir sonraki adım, davranışsal izleme veya korumalı alan yürütmedir. Bu çözüm sınıfı, sanallaştırılmış bir ortamda örnekleri patlatır ve tehdit algılaması için sistemin davranışını açıklar; Bu süreç hem hesaplama hem de zaman açısından yoğundur ve her bir dosyayı analiz etmek dakikalar alır. Birkaç ek saniyenin daha önce görülmemiş algılama fırsatları sağlayabileceği bir orta yol vardır.

Kullanım Örneği: Follina ve Malspam aracılığıyla teslim edilen Qbot Kötü Amaçlı Yazılım

Kaçınma tehdidine bir örnek, son zamanlardaki TA570 kampanyaları bu, iş parçacığı tarafından ele geçirilen e-postalarla Qbot kötü amaçlı yazılımını teslim etti. Bu kötü amaçlı spam dalgası, yükü sağlamak için iki farklı yöntem kullandı. İlk yöntem, bir DLL dosyasını gizli öznitelikle çalıştırmak için bir kısayol LNK kullandı. İkinci yöntem, Follina (CVE-2022-30190) istismarını kullanan bir Word belgesidir.

En son Qbot tehdit dizisi
Şekil 2. En son Qbot tehdit dizisi. Kaynak: InQuest

Ekli HTML dosyası, gömülü base64 dizesini bir zip arşivine dönüştürmek ve kurbanın indirmesini istemek için eski bir JS işlevi içerir. Çıkarıldığında, zip dosyası, bir kısayol veya kısayol ve kelime belgesini gösteren monte edilecek bir disk görüntüsü içerir. Kısayol, Qbot DLL dosyasını gizli öznitelik kümesiyle dizinde yürütür. Aynı zamanda, Word dosyası MSDT güvenlik açığından yararlanmaya ve yükü uzak bir sunucudan indirmeye çalışacaktır.

Zip arşivini kodlanmış HTML’den oymak, IMG dosyasını çıkarmak ve silahlaştırılmış içerikleri tanımlamak birçok çözüm için zordur. Bu örnekte, SMTP başlıklarındaki belirsizliklerden gizli DLL veya Follina belgesine kadar birden çok tehdit imzası görülmektedir.

Çeşitli imza uyarıları.
Şekil 3. Çeşitli imza uyarıları. Kaynak: InQuest

Tespit için bir başka ilginç yaklaşım, geriye dönük analiz veya RetroAvcılık. DFI yeni bir veri boyutu yaratırken, RetroHunting tarihsel olayları analiz etmek için yeni bir zaman boyutu sağlar. Follina ve diğer sıfır gün güvenlik açıklarının ortaya çıkması, ortaya çıkan tehdit istihbaratı ve algılama mantığı ile daha önce görülmemiş uyarıların algılanmasını kolaylaştırarak bu yeteneğin kullanışlılığını göstermektedir.

Analistler, önceden geliştirilmiş imzalardan oluşan bir kitaplığa ek olarak, kullanıcı tanımlı YARA
esnek koşullu mantık aracılığıyla dizeleri, bayt kalıplarını ve normal ifadeleri birleştirmek için kurallar.

Vahşi doğada karşılaşılan yeni saldırı teknikleriyle karşı karşıya kaldıklarında, güvenlik liderleri, algılama operasyonlarınızı güçlendirme ve diğer kötü amaçlı yazılım önleme çözümlerinin doğasında bulunan sınırlamaların üstesinden gelme fırsatı sağlamalıdır. Bir posta sağlayıcısının güvenlik kontrollerinin etkinliğini test etmek için ücretsiz bir kaynak, E-posta Güvenlik Değerlendirmesi.

yazar hakkında

Josiah Smith

Josiah Smith, güvenlik alanında neredeyse on yıllık bir deneyime sahiptir. Josiah, tehdit mühendisi olmadan önce siber operatör olarak çalıştı ve imza yönetimini ve ana bilgisayar tabanlı algılama programlarını denetledi. Birkaç yılını penceresiz bir odada ağ algılama, tehdit avcılığı ve IR araştırmalarına odaklanarak geçirdi. Kariyerine ABD Hava Kuvvetleri üyesi olarak başladı ve tecrübesinin çoğu Savunma Bakanlığı’nda.



siber-1