Kötü Amaçlı Yazılımın Süreklilik Teknikleri
Kötü amaçlı yazılımlar, siber saldırganların ele geçirilen sistemlere sürekli erişim sağlaması için kullandığı çeşitli süreklilik teknikleri kullanır. Sistem yeniden başlatılsa, kimlik bilgileri değiştirtilse ya da başka kesintilere rağmen kötü amaçlı yazılımlar aktif kalabilir. Bu teknikler, konfigürasyonların değiştirilmesi, başlangıç kodlarının eklenmesi ve meşru süreçlerin ele geçirilmesi gibi yöntemleri içerir.
- Kötü Amaçlı Yazılımın Süreklilik Teknikleri
- Kötü Amaçlı Yazılım Süreklilik Teknikleri
- T1053 – Zamanlamalı Görevler
- T1037 – Başlangıç veya Giriş Betikleri
- T1543 – Sistem Süreçlerini Oluşturma veya Değiştirme
- T1136 – Hesap Oluşturma
- T1098 – Hesap Manipülasyonu
- Kötü Amaçlı Yazılım Sürekliliği Tekniklerinin Etkileri
- Uzun Süreli Varoluş
- İyileştirme Kaçışı
- Veri Sızıntısı
- Ek Kötü Amaçlı Yazılım Dağıtımı
- Düzenleyici Uyumsuzluk
- Kötü Amaçlı Yazılıma Karşı Nasıl Korunulur?
- Wazuh’un Kötü Amaçlı Yazılım Sürekliliği Tekniklerine Karşı Korunması
Bu makalede, kötü amaçlı yazılım sürekliliği tekniklerinin doğasını, etkilerini ve onlara karşı korunma stratejilerini inceleyeceğiz.
Kötü Amaçlı Yazılım Süreklilik Teknikleri
MITRE ATT&CK çerçevesi, tehdit aktörlerinin sürekliliği sağlamak için kullandıkları çeşitli teknikleri sınıflandırır. Aşağıda, saldırganların ele geçirilen cihazlarda uzun süreli erişim sağlamak için kullandığı bazı kötü amaçlı yazılım süreklilik teknikleri örnekleri bulunmaktadır:
T1053 – Zamanlamalı Görevler
Saldırganlar, kötü amaçlı kodu tekrar tekrar çalıştırmak için görev zamanlama özelliklerini kötüye kullanır. Windows‘ta Görev Zamanlayıcı, Linux‘ta cron ve macOS‘ta launchd gibi yerleşik yardımcı programlar, belirli zamanlarda programları veya betikleri çalıştırabilir.
T1037 – Başlangıç veya Giriş Betikleri
Saldırganlar, sistem başlatıldığında veya kullanıcı giriş yaptığında çalışacak şekilde betiklerini yapılandırır. Bu, sürekli erişimi ya da ayrıcalık artışını garanti eder. Linux’ta rc.local, init.d veya systemd gibi mekanizmalar, kötü amaçlı kodların başlatılmasında yaygın olarak kullanılır.
T1543 – Sistem Süreçlerini Oluşturma veya Değiştirme
Sistem düzeyindeki süreçler, arka planda otomatik olarak çalışan Windows hizmetleri, Linux daemon’ları veya macOS launchd ajanlarıdır. Tehdit aktörleri, bu süreçleri kötü amaçlı yükler çalıştıracak şekilde yükleyebilir veya değiştirebilir.
T1136 – Hesap Oluşturma
Saldırganlar, ele geçirilen sistemlerde yerel, alan veya bulut kullanıcı hesapları oluşturabilir. Yeterli ayrıcalıklara sahip bu hesaplar, sürekli erişim için kullanılabilir.
T1098 – Hesap Manipülasyonu
Hesap manipülasyonu, saldırganların kimlik bilgilerini değiştirmesi, grup üyeliklerini değiştirmesi veya güvenlik politikalarını aşması için bir yol sağlar. Örneğin, ~/.ssh/authorized_keys dosyasına SSH anahtarı eklemek, şifre gerektirmeden sürekli uzaktan erişim sağlar.
Kötü Amaçlı Yazılım Sürekliliği Tekniklerinin Etkileri
Kötü amaçlı yazılım sürekliliği teknikleri, saldırganların ele geçirilmiş sistemlerde uzun süreli erişim sağlamak için tasarlanmıştır. Malware sürekliliği tekniklerinin bazı etkileri şöyledir:
Uzun Süreli Varoluş
Bu teknikler, saldırganların ele geçirilmiş bir ortamda uzun süre kalmalarını sağlar. Haftalar veya aylar süren bu süre, saldırganların ağ içinde keşif yapmasına, ayrıcalıkları artırmasına ve tespit edilmeden önce bir sonraki adımlarını dikkatlice planlamasına olanak tanır.
İyileştirme Kaçışı
İlk temizleme sonrası, saldırganlar süreklilik mekanizmalarını kullanarak yeniden erişim sağlayabilir. Zamanlanmış görevler, kötü niyetli hizmetler veya yetkisiz kullanıcı hesapları gibi mekanizmalarla yeniden erişim mümkün hale gelir.
Veri Sızıntısı
Süreklilik erişimi, genellikle Gelişmiş Kalıcı Tehditler (APT’ler) için kullanılmaktadır. Bu tür saldırılarda, saldırganlar, uzun süreli sızma ve istismar için verileri kademeli olarak ele geçirir.
Ek Kötü Amaçlı Yazılım Dağıtımı
Sürekli erişim, saldırganların fidye yazılımları, arka kapılar veya uzaktan erişim trojanları gibi ek kötü amaçlı araçları tanıtmasına olanak tanır. Bu, sistemin daha fazla tehlikeye girmesine neden olur.
Düzenleyici Uyumsuzluk
Kötü amaçlı yazılım sürekliliği, saldırganların sistemlere yetkisiz erişimleri sürdürmelerine olanak tanır. Bu uzun vadeli erişim, GDPR, HIPAA ve PCI DSS gibi düzenleyici standartların ihlaline yol açabilir.
Kötü Amaçlı Yazılıma Karşı Nasıl Korunulur?
Kötü amaçlı yazılım süreklilik tekniklerine karşı korunmak, tespit, önleme ve olay müdahalesini içeren çok katmanlı bir yaklaşım gerektirir. Aşağıda bazı önemli savunma stratejileri yer almaktadır:
Yamanlama Yönetimi: Birçok süreklilik tekniği, işletim sistemlerinde veya uygulamalarda bilinen güvenlik açıklarını kullanır. Bu nedenle, bu bileşenlerde yamaların düzenli olarak uygulanması, saldırı yüzeyini azaltır.
Dosya Bütünlüğü İzleme (FIM): FIM, kritik dosyaların yetkisiz değişikliklerini tespit etmeye yardımcı olur. Başlangıç betikleri, zamanlama görevi yapılandırmaları gibi kritik dosyaları izlemek dikkat gerektirir.
Kullanıcı Hesabı İzleme: Süreklilik genellikle yeni kullanıcı hesapları oluşturmayı veya mevcut olanları değiştirmeyi içerir. Hesap oluşturma, silme ve izin değişikliklerini sürekli olarak izlemek şüpheli davranışları ortaya çıkarabilir.
Sistem Yapılandırmalarını Güçlendirme: Temel yapılandırmaları güvenleştirmek, saldırganların sistem özelliklerinden yararlanma riskini azaltır. Kullanılmayan hizmetlerin devre dışı bırakılması, güçlü şifre politikalarının uygulanması gibi önlemler önemlidir.
Tehdit Avı: Proaktif tehdit avları, güvenlik ekiplerinin otomatik araçların atlayabileceği gizli süreklilik mekanizmalarını tespit etmesine olanak tanır.
Uç Nokta Güvenliği: Güçlü uç nokta koruma araçlarının kullanımı, aktivitelerin gerçek zamanlı izlenmesini sağlar ve bilinen sürekli davranışları engeller.
Wazuh’un Kötü Amaçlı Yazılım Sürekliliği Tekniklerine Karşı Korunması
Wazuh, birden fazla iş yükü için birleşik SIEM ve XDR koruması sunan, ücretsiz ve açık kaynaklı bir güvenlik çözümüdür. Wazuh, sanal, yerinde, bulut tabanlı ve konteynır ortamlarında tehdit tespiti ve güvenlik izlemeye yönelik merkezi bir görünüm sağlar.
Wazuh, kötü amaçlı yazılım sürekliliği tekniklerine karşı savunma sağlamak için bir dizi yetenek sunar. Bu yetenekler arasında aktif yanıt, dosya bütünlüğü izleme, güvenlik ve yapılandırma değerlendirmesi, günlük veri analizi ve zafiyet tespiti yer almaktadır.
Aktif Yanıt Modülü, önceden tanımlanmış tetikleyicilere dayalı otomatik yanıt eylemleri gerçekleştirerek güvenlik ekiplerinin güvenlik olaylarını verimli bir şekilde yönetmelerine yardımcı olur.
Dosya Bütünlüğü İzleme (FIM) Modülü, izlenen dosyalarda meydana gelen değişiklikleri izler ve kullanıcı veya sürecin bir dosyayı oluşturduğu, değiştirdiği veya sildiği durumlarda alarm oluşturur.
Güvenlik ve Yapılandırma Değerlendirme Modülü, izlenen uç noktaların yanlış yapılandırmalarını tespit eder ve iyileştirmeye yönelik öneriler sunar.
Günlük Veri Analizi, IT altyapınız üzerinde görünürlük sağlayarak, son kullanıcı aktivitelerini analiz eder ve anormallikleri tespit eder.
Sonuç
Kötü amaçlı yazılım sürekliliği teknikleri, saldırganların sistemlerde uzun süreli erişimlerini sürdürmelerine olanak tanır. Bu nedenle, sistemleri korumak için çok katmanlı bir yaklaşım benimsemek şarttır. Wazuh, kötü amaçlı yazılım sürekliliği tekniklerine karşı önemli bir savunma aracı olarak öne çıkmaktadır. Sisteminizi güçlendirmek ve herhangi bir olumsuz duruma karşı hazırlıklı olmak için Wazuh’u kullanmaya başlayabilirsiniz.
