1. Anasayfa
  2. Teknoloji

Picus 5 milyondan fazla zararlı aksiyonu ortaya çıkardı


0


Yeni Picus Red Report “İsviçre Çakısı” Olarak Nitelendirilen Ziyanlı Yazılımlara Karşı Uyarıyor. Yeni ortaya çıkan çok taraflı ziyanlı yazılımlar atlatma, yanal hareket ve bilgi şifrelemede epey yetenekli

Siber İhlal ve Atak Simulasyonu (BAS) alanının kurucusu olan Picus Security, 550 bin’den fazla ziyanlı yazılımın derinlemesine tahlil edildiği ve bugüne kadar yapılan en geniş çaplı araştırma olan The Red Report 2023’ü yayınladı. 

Bu rapor kapsamında araştırmacılar, ziyanlı yazılımların davranışlarını gözlemleyerek 5 milyondan fazla ziyanlı aksiyonu ortaya çıkardı ve bu dataları 2022 yılında siber hatalılar tarafından kullanılan en yaygın on atak tekniğini belirlemek için kullandı. Picus, bu raporun bulgularına dayanarak, güvenlik denetimlerini atlatabilen ve Cyber Kill Chain etaplarının bir birçoklarında ziyanlı aksiyonlar gerçekleştirebilen ve “İsviçre çakısı”  olarak nitelendirilen çok hedefli ziyanlı yazılımların” artacağı konusunda uyarıyor.

Picus Labs’ın tahlil ettiği ziyanlı yazılımların üçte birinin 20’den fazla başka Taktik, Teknik ve Prosedür (TTP) sergileyebilmesi, yeni ziyanlı yazılımların çok taraflılığını ortaya koyuyor. Bu ziyanlı yazılımlar giderek artan bir halde ziyanlı olmayan yazılımları berbata kullanabiliyor, yanal hareket gerçekleştirebiliyor ve belgeleri şifreleyebiliyor. Fidye yazılımlarının artan karmaşıklığı, âlâ finanse edilen fidye yazılımı kartellerinin geniş kaynaklarından ve güvenlik grupları tarafından kullanılan davranış tabanlı taarruz tespit tekniklerinin giderek gelişmesinden ötürü tehdit aktörlerinin yeni atlatma teknikleri aramalarından kaynaklanıyor.

“Modern ziyanlı yazılımlar çok farklı formlarda karşımıza çıkmaktadır,” diyen Picus Security Kurucu Ortağı ve Genel Müdür Yardımcısı Dr. Süleyman Özarslan şunları aktardı: “Zararlı yazılımların birtakım kolay tipleri temel fonksiyonların yerine getirilmesi için tasarlanmıştır. Başkalarıysa bir cerrahın neşteri üzere tek bir misyonu çok hassas bir biçimde yerine getirmek üzere geliştirilmiştir. Günümüzde ise bu iki özelliğe de sahip, her şeyi yapabilen daha fazla ziyanlı yazılım görüyoruz. ‘İsviçre çakısı’ üzere pek çok işlevi barındıran bu ziyanlı yazılımlar saldırganların ağlarda fark edilmeden büyük bir süratle ilerlemesini, kritik sistemlere erişmek için kimlik bilgilerini elde etmesini ve dataları şifrelemesini sağlayabilir.”

Picus’un her yıl tertipli olarak yayınladığı bir rapor olan Red Report, ziyanlı yazılımların vakit içindeki gelişimini takip etmeye imkan verdiği için epey değerli. Rapor sonuçları ayrıyeten güvenlik gruplarının MITRE ATT&CK siber akın çerçevesinde yer alan en yaygın atak tekniklerine karşı alınacak tedbirlerin önceliklendirilmesine de yardımcı oluyor.

Raporda öne çıkan bulgular şöyle: 

  • Zararlı yazılımların geneli 11 TTP kullanıyor. Ziyanlı yazılımların üçte biri (%32) 20’den fazla TTP’den, onda biri ise 30’dan fazla TTP’den yararlanıyor.
  • Kod ve Komut Evrakı Yorumlayıcısı (Command and Scripting Interpreter), ziyanlı yazılım örneklerinin yaklaşık üçte biri tarafından kullanolan en yaygın ATT&CK tekniği olarak karşımıza çıkıyor. Uzaktan Sistem Keşfi (Remote System Discovery) ve Uzak Hizmetlerin (Remote Services) birinci sefer The Red Report Top 10’de yer alması, ziyanlı yazılımların tespit edilmemek için işletim sistemlerindeki yerleşik araçları ve protokolleri ne ölçüde berbata kullandığının öteki bir göstergesi.
  • Tespit edilen en yaygın 10 ATT&CK tekniğinden dördü, kurumsal ağlar içinde yanal hareketlere dayanak olmak emeliyle kullanılıyor.
  • Tüm ziyanlı yazılımların dörtte biri bilgileri şifreleme kapasitesine sahip ve bu durum fidye yazılım tehdidinin devam ettiğinin değerli bir göstergesi.

“Hem fidye yazılımı operatörlerinin hem de dünyadaki devlet dayanaklı tehdit aktörlerinin hedefi, bir gayeye mümkün olduğunca süratli ve verimli bir biçimde ulaşmaktır,” diyen Dr. Ozarslan şöyle konuştu: 

“Günümüzde daha fazla ziyanlı yazılımın yanal hareket gerçekleştirebilmesi, her tipten siber saldırganın BT ortamlarındaki farklılıklara ahenk sağlamak zorunda kaldığının ve maddi yarar sağlamak için daha çok çalıştığının bir işareti. Gitgide daha sofistike hale gelen ziyanlı yazılımlara karşı savunma yapmak zorunda kalan güvenlik grupları bu durumla uğraş edebilmek için yaklaşımlarını geliştirmeye devam etmeli. Kurumlar, yaygın olarak kullanılan hücum tekniklerine öncelik vererek ve güvenlik denetimlerinin aktifliğini daima olarak doğrulayarak kritik varlıklarını savunma konusunda çok daha hazırlıklı olabilirler. Ayrıyeten bu sayede tüm dikkat ve kaynaklarının siber savunmalarında en büyük etkiyi yaratacak alanlar üzerinde ağırlaşmasını sağlayabileceklerdir.”

Önemli notlar:

Metodoloji

Picus Labs, Ocak 2022 ile Aralık 2022 tarihleri ortasında 556,107 özel belgeyi tahlil etti ve bunlardan 507,912’sinin (%91) ziyanlı olarak sınıflandırıldığını belirledi. 

Aşağıda belirtilenlerle hudutlu olmamak üzere bu belgelerin kaynakları şunlardır: 

  • Ticari ve açık kaynaklı tehdit istihbarat servisleri
  • Güvenlik üreticileri ve araştırmacıları
  • Zararlı yazılım sandbox sistemleri
  • Zararlı yazılım veritabanları

Toplam 5.388.946 sürecin elde edildiği bu belgelerden ziyanlı yazılım başına ortalama 11 ziyanlı aksiyon tespit edilmiştir. Bu aksiyonlar daha sonra MITRE ATT&CK teknikleriyle eşleştirimişi ve ziyanlı yazılım başına ortalama 9 atak tekni kullanıldığı ortaya çıkmıştır.

Picus Labs araştırmacıları, Red Report 2023 Top Deri’yi derlemek için her bir tekniği kullanan ziyanlı belge sayısını tespit etti. Akabinde, bilgi kümesinde bu tekniği kullanan ziyanlı yazılımların yüzdesini hesapladı. Örneğin, T1059 Kod ve Komut Belgesi Yorumlayıcısı tekniği, tahlil edilen 507.912 ziyanlı evrakın 159.196’sı (%31) tarafından kullanıldı.

 

Kaynak: (BYZHA) – Beyaz Haber Ajansı

  • 0
    mutlu
    Mutlu
  • 0
    _zg_n
    Üzgün
  • 0
    _a_k_n
    Şaşkın
  • 0
    _yi
    İyi
  • 0
    k_t_
    Kötü
  • 0
    k_zg_n
    Kızgın
İlginizi Çekebilir

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir