Orta Doğu’daki devlet kurumlarına karşı yakın zamanda gerçekleştirilen kurnaz siber casusluk kampanyası bir göstergeyse, siber savunucuların kötü amaçlı yazılım tespit yeteneklerini yakında yükseltmeleri gerekecek.
Siber güvenlik kinayesine göre bir kedi-fare oyunudur. Şirketler Linux ve macOS’a geçiyor saldırganlar onları orada takip ediyor. Saldırganlar, kimlik avı eklerinde kötü amaçlı yazılım dağıtır, bu nedenle Microsoft İnternet makrolarını engelliyorböylece saldırganlar uyum sağlar. Gibi Siber güvenlik araçları güçleniyorSaldırganların onları atlatmaya yönelik yöntemleri daha yaratıcı ve etkili hale gelir.
Böylece Şubat ayında Kaspersky araştırmacıları bir tehdit aktörünü keşfetti Orta Doğu hükümet örgütüne casusluk yapmak. Kaspersky saldırıya ulaştığında başta Orta Doğu olmak üzere diğer kuruluşlara karşı en az 30 enfeksiyon kaydedilmişti. Buna rağmen, “DuneQuixote” adı verilen kampanya, büyük ölçüde klasik ve yeni gizlilik tekniklerinin birleşimi sayesinde en az bir yıl boyunca gizlenmeyi başarmıştı.
Uzmanların hemen belirttiği gibi, siber saldırganlar gizliliklerini geliştiriyor. Belki bir kez daha üstünlük kazanıyorlardır?
Carnegie Mellon’da siber güvenlik profesörü ve ForAllSecure CEO’su David Brumley, “Kötü amaçlı yazılımlara karşı koruma tespitini atlatan yeni kötü amaçlı yazılımlar oluşturmak kesinlikle önemsiz bir iş” diyor. “‘Gelişmiş’ davranış analizini bile birkaç hileyle kandırmak oldukça kolaydır. Bu, gerçekte ne olduğunu anlamak için manuel analize ihtiyaç duyacak çok büyük miktarda kötü amaçlı yazılım olduğu anlamına gelir. Ve elbette, tüm özel hilelerle birlikte, bu bunu yapmayı gerçekten zorlaştırıyor.”
DuneKişot ve İspanyol Şiiri
DuneQuixote kampanyası iki ayrı kötü amaçlı yazılım düşürücüden ve iki ayrı veriden oluşur.
Bir damlalık, Total Commander yazılım yükleyicisini taklit ederek meşru yazılımı kötü niyetli katkılarıyla paketliyor. Hedeflenen bir makineye girdikten sonra, örneğin cihazda bilinen herhangi bir güvenlik yazılımının bulunup bulunmadığı da dahil olmak üzere bir dizi anti-analiz kontrolünden geçer. Kontrollerden herhangi birinin başarısız olması durumunda, kötü amaçlı yazılım, kodlanmış bir anlamı olan “1” değerini döndürecektir. Saldırganların komuta ve kontrol (C2) sunucu adresinin şifresini çözme zamanı geldiğinde, 1 değeri “https”den “h”yi kaldıracak, böylece C2 URL’si yalnızca “ttps” ile başlayacak ve bağlantı olmayacak hiç yapılacaktır.
İkinci DuneQuixote damlalığı daha da akıllıdır. Yürütüldüğünde ilk eylemi, ilk bakışta gerçek bir amaca hizmet etmiyormuş gibi görünen bir dizi uygulama programlama arayüzü (API) çağrısı yapmaktır. Bunun yerine, gizli bir etkiye sahip olan İspanyol şiirlerinden parçalar içeren dizeler içeriyorlar. Damlalığın her örneği, her örneği kazandıran farklı şiir dizeleri içerir kendine ait, benzersiz imzası. Bu, bilinen kötü amaçlı yazılımların yeni örneklerini tanımlamak için ortak imzalara dayanan basit algılama çözümlerinin işini zorlaştırır.
İlk damlalık gibi bu ikincisinin de altyapısını analistlerden gizlemeye yönelik bir yöntemi var. Kötü amaçlı dosya adını ve İspanyolca bir şiirden bir satırı alıp bunları birleştiriyor ve MD5 algoritmasından geçiriyor. Ortaya çıkan karma, C2 adresinin şifresini çözen bir anahtar görevi görür.
Yüklere gelince: Bu kampanyadaki ikisi, dosyaların yüklenmesini ve indirilmesini, komutların yürütülmesini ve dosyaların değiştirilmesini kolaylaştıran, yeterince basit arka kapılardır. Ayak izi bırakmamak için her biri doğrudan belleğe yazılır.
“Gelişen teknikler arasında dosyasız kötü amaçlı yazılımlar [is worrying]Critical Start’ta siber tehdit araştırması kıdemli yöneticisi Callie Guenther şöyle diyor: “Bu kötü amaçlı yazılım türü, dijital ayak izini önemli ölçüde azaltır ve dosya tabanlı imzaları tarayan geleneksel antivirüs çözümlerinden kaçar, ihlal sonrası analizi ve adli tıpı karmaşık hale getirir. Gizliliği ve etkililiği nedeniyle özellikle endişe verici, bu da onu giderek daha yaygın hale gelmeye aday kılıyor.”
Gelişmiş Gizlilik Taktikleri Nasıl Engellenir?
Bellekteki kötü amaçlı yazılımların yanı sıra, “En dikkate değer [stealth tactics] Tedarik zinciri saldırılarında kötü amaçlı kodların kapsamlı uygulamaların meşru kodlarıyla harmanlandığı hileler kullanıldığını gördüm. Tanımlanması zor” diyor Kaspersky Küresel Araştırma ve Analiz Ekibi’nin baş güvenlik araştırmacısı Sergey Lozhkin.
Tehdit aktörleri de bireysel hileler kadar, hedef aldıkları ortamlara nasıl uyum sağlayacaklarını da biliyor; çeşitli araçlarını hangi noktalarda, hangi koşullar altında ve hangi amaçlara bırakacaklarını hayrete düşürüyor. “En üst düzeyde, sahip olmadığınız şeyi analiz edemezsiniz. Kötü amaçlı yazılım yazarları bu fikri kullanır ve belki de yalnızca yazar tarafından belirli bir komut verildiğinde yeni bileşenleri aşamalı olarak indirirler. Bu bileşenler indirilinceye kadar, ne yaptıklarını biliyorum” diyor Brumley.
“Bunun ötesinde,” diye ekliyor, “sorun tek bir anti-analiz tekniği değil; önemli olan bunların sayısı ve bunları karıştırıp eşleştirme yeteneğidir. Kötü amaçlı yazılımın özel bir dil yorumlayıcısına sahip olduğu ve ‘tuhaf makineler’ yerleştirebilirler. Kötü amaçlı yazılım mantığı bunun üzerinde çalışır. Bunu analiz etmek zordur çünkü onu analiz etmeye çalıştığınızda, kötü amaçlı yazılım mantığının kendisini değil, tuhaf makineyi görürsünüz. Kötü amaçlı yazılım yazarları, kötü amaçlı yazılımın bileşenlerini şifreleyebilir ve paketleyebilir ve yalnızca aşamalı olarak şifresini çözebilir. Kötü amaçlı yazılımın bazı bölümleri, kötü amaçlı yazılımın kendisinde olmayan ancak C2 komutunun bir parçası olan bir anahtarla şifrelenmiş olabilir veya yukarıdakilerin tümünü karıştırabilir.”
Günther ve Lozhkin, saldırganların elindeki tüm gizlilik taktikleri ve teknikleriyle mücadele etmek için katmanlı güvenlik öneriyor: uç nokta tespiti ve tepkisi (EDR), davranışsal analiz ve anormallik tespit teknolojileri ve sistem erişimine yönelik daha geniş bir sıfır güven yaklaşımı.
Brumley ise daha az iyimser. “Çağlar boyunca insanlar yalnızca beyaz listeyi önerdiler. Bu, makineleri sıkı bir şekilde kilitlemek ve ardından yalnızca onaylı uygulamaları (veya imzalı onaylı satıcıların uygulamalarını) yüklediklerinden emin olmak anlamına gelir. Apple, en azından bu yaklaşımı benimseyen en ünlü şirkettir. duvarlı bahçe yaklaşımlarıyla mobilde” diyor.
Brumley, “Bunun ötesinde burası hücum oyuncusunun asimetrik avantaja sahip olduğu bir yer” diye ekliyor. “Bu nedenle, çoğu çaba kötü amaçlı yazılım analizine değil, iyi hijyene ve yüklenenleri sınırlamaya yöneliktir.”