“Karadan yaşamak” olarak bilinen ve giderek yaygınlaşan bir taktik, siber saldırılara bakış açımızı ve buna bağlı olarak siber savunmaya nasıl yaklaştığımızı değiştiriyor. Genellikle her kampanya için ısmarlama kötü amaçlı yazılım yazmaktan daha ucuz ve daha kolay olan, arazi dışında yaşamak, saldırganların uzaktan erişim elde etmek, ağda hareket etmek ve nihai hedeflerine ulaşmak için günlük faaliyetlerde düzenli olarak kullanılan araçlardan yararlanmalarına olanak tanır – genellikle bazıları veri hırsızlığı ve gasp kombinasyonu.
Geleneksel güvenlik araçları tipik olarak tarihsel saldırıların ayırt edici özelliklerine dayanır: belirli dosya karmaları, etki alanları ve önceki tehditlerde karşılaşılan diğer tehdit izleri için reddetme listeleri oluşturmak. Ancak bir saldırgan kendi altyapınızı size karşı kullandığında, normal iş operasyonlarını kesintiye uğratmadan saldırıyı nasıl kesersiniz?
Saldırganlar Arazinizin Dışında Nasıl Yaşar?
Arazi dışında yaşama teknikleri, bir kimlik avı e-postası, sistem ve yazılım veya herhangi bir sayıda saldırı vektörü şeklinde olabilen bir ilk enfeksiyondan sonra gerçekleşir. Saldırganın ağ keşfi, yanal hareket ve nihai hedef için hazırlıkta kalıcılık elde etmesine yardımcı olurlar: veri hırsızlığı veya şifreleme ve gasp.
Bir cihaza virüs bulaştığında, saldırganlar yüzlerce sistem aracı kullanabilir. Arazi dışında yaşama eğilimleri sürekli değişir ve bu nedenle “standart” bir arazi dışında yaşam saldırısını belirlemek zordur. Ancak Darktrace, 5.000’den fazla müşteride saldırı etkinliğinde geniş eğilimler gözlemledi.
Microsoft İkili Dosyaları ve Komut Dosyaları
Şu anda, yanlış ellere geçerlerse kötüye kullanıma ve kötüye kullanıma açık 100’den fazla sistem aracı bulunmaktadır. Bu listede, bilgisayar korsanlarının yeni kullanıcı hesapları oluşturmasına, verileri sıkıştırmasına veya dışarı sızdırmasına, sistem bilgilerini toplamasına, hedef cihazda işlemler başlatmasına ve hatta güvenlik araçlarını devre dışı bırakmasına olanak tanıyan araçlar bulunmaktadır. Microsoft’un kendi belgeleri Saldırganlar amaçlarına ulaşmak için bu araçları kullanmanın yeni yollarını bulmaya devam ederken, geleneksel savunma sistemlerine uyum sağlamakta ve bu araçlardan tespit edilmekten kaçınmaktadır.
WMI ve Powershell
Hedeflerine kötü amaçlı yükleri teslim etme söz konusu olduğunda, komut satırı araçları WMI ve PowerShell, saldırganlar tarafından en sık kullanılır. Bu komut satırı yardımcı programları, güvenlik ayarlarının ve sistem özelliklerinin yapılandırılması sırasında kullanılır ve saldırganlara hassas ağ veya cihaz durumu güncellemeleri sağlar ve cihazlar arasında dosya aktarımı ve yürütülmesine erişim sağlar.
Bu araçlar tipik dijital altyapının temel bir bileşenini oluşturduğundan, bu araçların kötü amaçlı amaçlarla kullanılması genellikle arka plan gürültüsü olarak kaybolur.
Kötü şöhretli Mimikatz
Mimikatz, saldırganlar tarafından parolaların, karmaların, PIN’lerin ve Kerberos biletlerinin boşaltılması için kullanılan açık kaynaklı bir yardımcı programdır.
Mimikatz’ın indirilmesini, kurulmasını ve kullanımını tespit etmek için kullanılan geleneksel güvenlik yaklaşımları özellikle yetersizdir. Saldırganlar, Mimikatz gibi araçları şaşırtmak için çok çeşitli doğrulanmış ve iyi belgelenmiş tekniklerden yararlanır; bu, basit olmayan bir saldırganın bile temel dize veya karma tabanlı algılamaları bozabileceği anlamına gelir.
Saldırganların Yapay Zeka ile Arazi Dışında Yaşamasını Durdurmak
Tek bir kuruluşta her gün yüzlerce, binlerce ve hatta milyonlarca kimlik bilgisi, ağ aracı ve işlemin günlüğe kaydedilmesini bekleyebilirsiniz. Peki savunucular, meşru araçlar kullanarak bu gürültüye karışan saldırganları nasıl yakalayabilir?
Yapay zeka (AI) teknolojisi, karada yaşamaya çalışan saldırganları tespit etmek ve durdurmak için kritik öneme sahiptir. AI, bilinen saldırı belirtileri aramak yerine, her cihazın ve kullanıcının “yaşam modellerini” anlayarak benzersiz dijital ortamını sıfırdan öğrenebilir. Bu öğrenilmiş “benlik” duygusu, ortaya çıkan bir saldırının göstergesi olan davranışlardaki ince sapmaları tespit etmesini sağlar.
Arazi dışı saldırılar söz konusu olduğunda, AI, belirli bir araç yaygın olarak kullanılabilse de, bir saldırganın onu kullanma şeklinin, görünüşte iyi huylu faaliyetin açıkça kötü niyetli olduğunu ortaya koyduğunu fark edebilir. Bu akıllı ayrımı yapmak, yapay zekanın ve organizasyonun benzersiz anlayışının en tatlı noktasıdır.
Daha fazla veri noktası eklendikçe, yapay zekanın bir organizasyonu anlaması daha kapsamlı hale gelir. AI, saldırganların arazi dışında yaşamasını sağlayan aynı karmaşıklıkta gelişir.
Yukarıda ele alınan örnekte, AI, PowerShell kullanıcı aracılarının birden çok cihazda sık kullanıldığını gözlemleyebilir, ancak yalnızca kullanıcı aracısının olağandışı bir zamanda bir cihazda gözlemlenmesi durumunda bir olayı rapor eder. Yeni kimlik bilgisi kullanımı veya yaygın olmayan SMB trafiği gibi Mimikatz istismarını gösteren faaliyetler incelikli olabilir, ancak bunlar altyapının normal operasyonları arasına gömülmezler.
Arazide yaşama teknikleri ortadan kalkmıyor. Bu büyüyen tehdide yanıt olarak, güvenlik ekipleri bir sonraki saldırıyı yakalamak için geçmiş saldırı verilerine dayanan eski tabanlı savunmalardan uzaklaşıyor ve çevresini anlamak için gelişen bir anlayışa dayanan yapay zekaya yöneliyor. bir tehdidin göstergesi olan ince sapmaları tespit edin – bu tehdit meşru araçlar kullanıyor olsa bile.
