Günümüzde saldırganlar, geleneksel kötü amaçlı yazılım analiz sistemleri tarafından tespit edilmekten kaçınmak için en son teknoloji gizleme ve uyarlanabilir ortama özgü özellikleri birleştiriyor. Güvenlik ekibiniz, ağınıza giren dosyaları taramak için geleneksel korumalı alan gibi eski yaklaşımlara güveniyorsa, kuruluşunuzu hedef alan bu tehlikeli açıkları kaçırabilir. Güvenlik ekipleriniz zamanlarını hedeflenen saldırılarla değil de tespit edilmesi kolay, yaygın güvenlik açıklarıyla harcıyorsa, kuruluşunuzu siber suçluların neden olduğu gereksiz risklere maruz bırakıyorlar.
Bu kalıpla ilgili hiçbir şey yeni değil: Araştırmacılar, kötü amaçlı yazılım saldırılarını tespit etmek için yeni kötü amaçlı yazılımdan koruma teknolojisi geliştiriyor. Siber suçlular, tespit edilmekten kaçınmak için kötü amaçlı yazılım varyantlarını uyarlar. Ve döngü devam ediyor.
Saldırganlar, sistemleri tehlikeye atmak için kurbanın uygulama yığını ve sistem ortamları hakkındaki bilgileri kullandıkları makine parmak izi ve coğrafi sınırlama gibi teknikleri benimsiyor.
Hepsini Yakalamalıyım: Geofencing
Kötü amaçlı yazılımın bir kurbanın makinesine girmesinin birçok yolu vardır. Oradayken, kurbanın makinesi veya ağı belirli bir ülkede değilse, bazı kötü amaçlı yazılım varyantları uykuda kalır. Bu coğrafi eskrim sayesinde gelir.
Kötü amaçlı yazılım, harici bir veritabanı veya hizmet aracılığıyla harici IP adresi coğrafi bölgesini arar ve cihazın hedef bölgede bulunup bulunmadığını kontrol eder. Cihazın coğrafi konumu ilgilenilen bir bölgedeyse, kötü amaçlı yazılım patlar. İkinci aşama bir kötü amaçlı yazılım yükleyebilir; yönetici kimlik bilgileri gibi faydalı bilgileri çalmak; suçlular tarafından kontrol edilen bir sisteme veri sızdırmak; ve makinedeki etkinliğinin tüm izlerini kaldırın.
Saldırganlar, birçok nedenden dolayı kötü amaçlı yazılımlara coğrafi sınırlama özellikleri ekler. Güçlü güvenlik duruşlarına sahip konumlar tarafından tespit edilmekten kaçınmak daha kolay olabilir. Bazen, kovuşturmaya maruz kalabilecekleri kendi ülkelerindeki ağlara bulaşmak istemezler. Bilgili suçlular, belgeleri açma ve fidye ödeme olasılığı daha yüksek olan güvenen kişilerin yaşadığı zengin ülkeleri hedef alır. Veya belirli bir bölgedeki iş liderlerinin zayıf savunma duruşlarına güvendiklerini veya iki faktörlü kimlik doğrulamayı kullanma olasılıklarının daha düşük olduğunu biliyor olabilirler.
Bölgeye özgü saldırılara bir örnek: Güney Kore hükümeti, Hangul Kelime İşlemcisini (HWP) yaygın olarak kullanıyor. Kuzey Koreli saldırganlar, kritik hükümet sistemlerine sızmak için Hangul’da kötü amaçlı yazılım yazıyor. Ancak bu kötü amaçlı yazılımı ABD hükümet çalışanlarını tehlikeye atmak için kullanmaya çalışmak kaynak israfı olur.
Altın Resmi Bulmak: Parmak İzi
Kötü amaçlı yazılım yazarları, makinelerin saldırı zincirlerine açık olup olmadığını belirlemek için çeşitli parmak izi alma tekniklerine güvenir. Parmak izi, antivirüs teknolojilerine zararsız görünerek kötü amaçlı yazılımların tespit edilmemesine yardımcı olur.
Ortam, belirli bir uygulamanın yüklenmesi veya belirli yapılandırma ayarlarının etkinleştirilmesi gibi önceden tanımlanmış koşulları karşılamadığı sürece, kötü amaçlı yazılım kurbanın makinesinde uykuda kalır. Saldırganlar ayrıca, güvenliği ihlal edilmiş sistemin önceden yapılandırılmış, kullanıma hazır veya ilk yükleme görüntüsünü kullanan bir sanal makine olup olmadığını anlamak için parmak izi alma tekniklerini kullanır. Bu durumda, kötü amaçlı yazılım patlamaz.
Uyarlanabilir ve Dinamik Analiz Neye benziyor?
Saldırgan coğrafi sınırlama veya parmak izi alma gibi teknikler kullanıyorsa, geleneksel sanal alanlar gelişmiş kötü amaçlı yazılımları veya hedefli sıfır gün saldırılarını tespit edemeyebilir. Örneğin, coğrafi sınırlama kullanan kötü amaçlı yazılım, coğrafi konumunu belirlemek için IP adreslerine bakmalıdır. Buna karşılık, uyarlanabilir dinamik analiz teknolojisi, ortam ve analiz karşıtı kontrolleri algılayıp otomatik olarak atlayabildiği için çok spesifik, hedefli saldırıların saptanmasına yardımcı olabilir.
Uyarlanabilir analiz, sistemdeki her hizmet ve uygulamanın talimatlarını yürüten tamamen sanallaştırılmış işletim sistemleri olan geleneksel sanal alanların aksine, yalnızca kötü amaçlı yazılımla ilgili talimatların yürütülmesini gerçekleştirir. Sonuç olarak, uyarlamalı analiz için toplam kaynak kullanımı önemli ölçüde daha düşüktür. Uzlaşma göstergeleri (IOC’ler) biçiminde istihbarat elde edebilmek, tehdit avcılığına, proaktif kendini savunma iyileştirmelerine ve tehdit aktörü atıfına olanak tanır.