Son yıllarda, EDR katilleri modern fidye yazılımı saldırılarında en sık görülen araçlardan biri hâline geldi. Bir saldırgan yüksek ayrıcalıklar elde eder, korumayı bozmak için bu tür bir araç kullanır ve ancak o zaman şifreleyicisini başlatır.
Endpoint Detection and Response ifadesinin kısaltması olan EDR, Türkçe’ye Uç Nokta Tespit ve Yanıt olarak çevrilen gelişmiş bir siber güvenlik teknolojisidir. Sunucu, bilgisayar ve mobil cihazlar gibi ağdaki uç noktaları sürekli izleyerek, antivirüslerin kaçırabileceği şüpheli davranışları gerçek zamanlı tespit eder ve otomatik yanıtlar verir.
Siber suçluların çalışanların dizüstü bilgisayarlarını, masaüstü bilgisayarlarını ve mobil cihazlarını iş verilerine ve altyapıya sızmak için kullanmasını önlemek için işletmeler açısından önemli bir araçtır. EDR Killer, bir siber saldırganın hedef sistemdeki güvenlik yazılımlarını etkisiz hâle getirmek için kullandığı araç veya teknikleri ifade eder.
EDR katilleri, modern fidye yazılımı saldırılarının temel bir parçasıdır; bu nedenle, iş ortakları yükleri sürekli olarak değiştirmek yerine şifreleyicileri çalıştırmak için kısa ve güvenilir bir zaman aralığını tercih ederler. Güvenlik araştırmacıları, son zamanlarda gözlemlenen EDR katillerinden en azından bazılarının, yapay zekâ destekli üretime işaret eden özellikler sergilediğini değerlendiriyor.
Şirketlerin güvenlik sistemlerini etkisizleştiren yöntemler artıyor
Her yerde görülen Bring Your Own Vulnerable Driver (BYOVD) tekniğinin yanı sıra, saldırganların sık sık meşru anti-rootkit yardımcı programlarını kötüye kullandığını veya sürücüsüz yaklaşımlar kullanarak uç nokta algılama ve yanıt (EDR) yazılımının iletişimini engellediği gözlemlendi. Kötüye kullanılan bu araçlar sadece bol miktarda mevcut olmakla kalmaz, aynı zamanda öngörülebilir ve tutarlı bir şekilde davranıyor.
Saldırı ekosistemi büyüyor
Verileri başarılı bir şekilde şifrelemek için fidye yazılımı şifreleyicilerinin tespit edilmekten kaçınması gerekir. Günümüzde, paketleme ve kod sanallaştırmadan sofistike enjeksiyona kadar uzanan çok çeşitli olgun kaçınma teknikleri mevcuttur.
Ancak güvenlik uzmanları, şifreleyicilerde bunların uygulandığını nadiren görmektedir. Bunun yerine, fidye yazılımı saldırganları, şifreleyicinin dağıtımından hemen önce güvenlik çözümlerini bozmak için EDR katillerini tercih etmektedir. Aynı zamanda, EDR katilleri genellikle meşru ancak savunmasız sürücülere dayanır; bu da eski veya kurumsal yazılımların kesintiye uğraması riski olmadan savunmayı önemli ölçüde zorlaştırır.
Sonuç, minimum geliştirme çabasıyla çekirdek düzeyinde etki sunan bir araç sınıfıdır; bu da bu araçları basitlikleri göz önüne alındığında orantısız bir şekilde güçlü kılar. Bu nedenle güvenlik uzmanları, güvenlik açığı bulunan sürücülerin yüklenmesini engellemenin savunma hattında çok önemli bir adım olduğunu ancak mevcut çeşitli atlatma teknikleri nedeniyle bunun kolay bir adım olmadığını vurguluyor. Bu durum, neden sadece buna güvenilmemesi gerektiğini ve EDR katillerinin sürücüyü yükleme şansı bulamadan onları devre dışı bırakmayı hedeflemesi gerektiğini ortaya koyuyor.
Aslında, en basit EDR engelleyiciler güvenlik açığı bulunan sürücülere veya diğer gelişmiş tekniklere dayanmaz. Bunun yerine, yerleşik yönetim araçlarını ve komutlarını kötüye kullanırlar. BYOVD teknikleri, modern EDR engelleyicilerin ayırt edici özelliği hâline gelmiştir:
Her yerde bulunur, güvenilirdir ve yaygın olarak kullanılır. Tipik bir senaryoda, bir saldırgan kurbanın makinesine meşru ancak güvenlik açığı bulunan bir sürücü yerleştirir, sürücüyü yükler ve ardından sürücünün güvenlik açığını kötüye kullanan bir kötü amaçlı yazılımı çalıştırır. Daha küçük ancak büyümekte olan bir EDR katili sınıfı, çekirdeğe hiç dokunmadan hedeflerine ulaşır. Bu araçlar, EDR işlemlerini sonlandırmak yerine diğer kritik özelliklere müdahale eder.
Yapay zekâ etkisiyle yeni nesil saldırı araçları gelişiyor
Yapay zekâ artık EDR katillerinin cephaneliklerindeki en yeni silah olarak kabul edilebilir. Yapay zekânın belirli bir kod tabanının oluşturulmasına doğrudan yardımcı olup olmadığını belirlemek genellikle pratik olarak imkânsızdır. Özellikle saldırganlar kodu sonradan işlediklerinde veya gizlediklerinde, yapay zekâ tarafından üretilen kodu insan tarafından yazılan koddan güvenilir bir şekilde ayıran kesin bir adli belirteç yoktur.
Ancak araştırmacıları, son zamanlarda gözlemlenen EDR katillerinden en azından bazılarının, yapay zekâ destekli üretimi güçlü bir şekilde ima eden özellikler sergilediğini değerlendiriyor. Buna açık bir örnek, Warlock fidye yazılımı çetesi tarafından yakın zamanda kullanılan bir EDR katilinde görülmektedir. Araç, yapay zekâ tarafından üretilen şablonlar için tipik bir örüntü olan olası düzeltmelerin bir listesini yazdırmakla kalmayıp, belirli bir sürücüyü istismar etmek yerine, çalışan bir sürücü bulana kadar birbiriyle ilgisiz, yaygın olarak kötüye kullanılan birkaç cihaz adını döngüsel olarak deneyen bir deneme-yanılma mekanizması da içermektedir.
