Siber güvenlikte, “Living-off-the-land” (LotL) saldırılarının tespiti giderek zorlaşıyor. Bu saldırılar, harici kötü amaçlı yazılımlara güvenmek yerine PowerShell, WMI veya Office makroları gibi meşru sistem araçlarını kullanıyor ve saldırganların bir ağ içinde gizlice hareket etmesini sağlıyor.
Siber güvenlik dünyasında “Living-off-the-land” (LotL) saldırıları, giderek artan bir endişe kaynağı haline geliyor. Bu saldırı türü, siber suçluların mevcut sistem araçlarını kullanarak hedefe saldırmalarını ve ağlarda fark edilmeden dolaşmalarını sağlıyor.
Hali hazırda bulunan mevcut sistemler, normal işleyişin bir parçası olarak kabul edildiğinden tespit edilme olasılığı da büyük oranda azalıyor. Böylelikle hedef sistemde uzun süre kalabilme imkanı doğuyor. Sistem üzerinde kontrol sağlamak, verilerin çalınması ve itibar zedelenmesi gibi birçok amacı olabilen bu saldırı, hedefe sistem içerisindeki kaynakları kullanarak ulaştığından şüphe oluşturmuyor.
LotL Saldırılarındaki Yaygın Teknikler Neler?
- PowerShell: Sistem yöneticileri tarafından aktif bir şekilde kullanılan ve Windows sistemleri için güçlü bir komut satırı olan PowerShell, siber saldırganlar tarafından kötü amaçlı komut dosyalarını indirmek ve çalıştırmak, uzak bağlantılar kurmak veya sistem ayarlarını belirgin izler bırakmadan değiştirmek için kullanılır.
- WMI: Windows işletim sistemleri için bir yönetim altyapısı olan WMI, sistem bilgilerini toplamak ve yönetim görevlerini yerine getirmek için kullanılır. Kullanıcı erişimi olmaksızın uzaktan komutları yürütmek, zayıf noktaları belirlemek için sistem verilerini toplamak veya sistemde kalıcılığı sağlamak için kullanılır.
- Uzaktan Yönetim Araçları: PsExec gibi araçlar, kötü amaçlı komutları uzaktan yürüterek hedef sistem üzerinde değişiklik yapmak için yeniden kullanılabilir.
- Office Makroları: Office belgelerine yerleştirilen kötü amaçlı makrolar, açıldığında kodu çalıştırarak kullanıcı güvenini suistimal eder ve sistemlere sızabilir.
Living-off-the-land Saldırılarına Karşı Korunmanın 4 Yolu
- Uygulama Denetimi: PowerShell ve WMI gibi araçları belirli kullanıcılar ve işlemlerle sınırlayın.
- Remote Shell ile Soruşturma ve Hızlı Müdahalenin Genişletilmesi: WatchGuard Advanced EPDR’nin yeni sürümü, dosyaları almak, işlemleri incelemek ve hatta Windows, Linux veya macOS olsun uç noktada doğrudan eylemde bulunmak için uzak bir kabuk açma yeteneğini içeriyor.
- Risk Oluşturan Bağlantılar Konusunda Dikkat: Ağ segmentasyonu kullanılarak farklı ağ segmentleri veya uç noktaları arasındaki iletişimin sınırlandırılması, saldırganların LotL tekniklerini kullanarak yanal olarak hareket etmesini önleyebilir.
- Eğitim ve Farkındalık:Çalışanlara makroların riskleri ve yönetim araçlarının güvenli kullanımı konusunda eğitim verilmesi, kötü amaçlı komut dosyalarının yanlışlıkla yürütülmesinin önlenmesine yardımcı olabilir.
- İzleme ve Otomatik Davranış Analizi: Yalnızca imzalara veya uç nokta teknolojisine güvenmek yerine, olağandışı sistem etkinliklerini tespit etmek için bulutta davranış analitiğini kullanın.