Siber güvenlik çözümlerinde dünya lideri olan ESET, EDR katili ekosistemine yönelik en son derinlemesine tahlilini yayımlayarak saldırganların güvenlik açığı bulunan şoförleri nasıl berbata kullandığını ortaya koydu. ESET’in raporu, yaygın olarak görülen şoför merkezli yaklaşımın ötesine geçen, telemetri dayanaklı içgörüler sunuyor. Rapor, operatörlerin değil, iş ortaklarının araç çeşitliliğini nasıl şekillendirdiğini ve kod tabanlarının şoförleri rutin olarak nasıl yine kullandığını ve değiştirdiğini belgeliyor.
Endpoint Detection and Response sözünün kısaltması olan EDR, Türkçe’ye Uç Nokta Tespit ve Cevap olarak çevrilen gelişmiş bir siber güvenlik teknolojisidir. Sunucu, bilgisayar ve taşınabilir aygıtlar üzere ağdaki uç noktaları daima izleyerek, antivirüslerin kaçırabileceği kuşkulu davranışları gerçek vakitli tespit eder ve otomatik cevaplar verir. Siber hatalıların çalışanların dizüstü bilgisayarlarını, masaüstü bilgisayarlarını ve taşınabilir aygıtlarını iş datalarına ve altyapıya sızmak için kullanmasını önlemek için işletmeler açısından kıymetli bir araçtır. EDR Killer, bir siber saldırganın amaç sistemdeki güvenlik yazılımlarını etkisiz hâle getirmek için kullandığı araç yahut teknikleri söz eder. EDR katilleri, çağdaş fidye yazılımı ataklarının temel bir kesimidir; bu nedenle, iş ortakları yükleri daima olarak değiştirmek yerine şifreleyicileri çalıştırmak için kısa ve sağlam bir vakit aralığını tercih ederler. ESET araştırmacıları, son vakitlerde gözlemlenen EDR katillerinden en azından kimilerinin, yapay zekâ dayanaklı üretime işaret eden özellikler sergilediğini pahalandırıyor. ESET telemetri ve olay araştırmalarına dayanan bu çalışma, alanda faal olarak kullanılan yaklaşık 90 EDR katilinin tahliline ve izlenmesine dayanmaktadır.
Fidye yazılımı akınlarındaki yeni taktik evvel güvenliği devre dışı bırakmak
Son yıllarda, EDR katilleri çağdaş fidye yazılımı taarruzlarında en sık görülen araçlardan biri hâline geldi. Bir saldırgan yüksek ayrıcalıklar elde eder, muhafazayı bozmak için bu çeşit bir araç kullanır ve fakat o vakit şifreleyicisini başlatır. Her yerde görülen Bring Your Own Vulnerable Driver (BYOVD) tekniğinin yanı sıra ESET saldırganların sık sık legal anti-rootkit yardımcı programlarını berbata kullandığını yahut şoförsüz yaklaşımlar kullanarak uç nokta algılama ve karşılık (EDR) yazılımının bağlantısını engellediğini yahut onu askıya aldığını da gözlemlemektedir. Berbata kullanılan bu araçlar yalnızca bol ölçüde mevcut olmakla kalmaz, tıpkı vakitte öngörülebilir ve dengeli bir biçimde davranır; işte bu yüzden de iş ortakları bunlara yönelmektedir.
EDR katillerini araştıran ESET araştırmacısı Jakub Souček “Bu araştırmanın ortaya çıkardığı görüntü, kavram ispatlarının sonsuz çatallanmasından karmaşık profesyonel uygulamalara kadar uzanan devasa bir alandır. Darknet’te reklamları yapılan ticari EDR katillerine odaklanmak, müşteri tabanlarını daha yeterli anlamamızı ve aksi takdirde zımnî kalacak kontakları tespit etmemizi sağlıyor. Şirket içinde geliştirilen EDR katilleri, kapalı kümelerin iç işleyişi hakkında fikir vermektedir. Ayrıyeten vibe kodlama da işleri daha da karmaşık hâle getirmektedir” açıklaması yaptı.
Saldırı ekosistemi büyüyor
Verileri başarılı bir formda şifrelemek için fidye yazılımı şifreleyicilerinin tespit edilmekten kaçınması gerekir. Günümüzde, paketleme ve kod sanallaştırmadan sofistike enjeksiyona kadar uzanan çok çeşitli olgun kaçınma teknikleri mevcuttur. Lakin ESET, şifreleyicilerde bunların uygulandığını nadiren görmektedir. Bunun yerine, fidye yazılımı saldırganları, şifreleyicinin dağıtımından çabucak evvel güvenlik tahlillerini bozmak için EDR katillerini tercih etmektedir. Birebir vakitte, EDR katilleri çoklukla yasal lakin savunmasız şoförlere dayanır; bu da eski yahut kurumsal yazılımların kesintiye uğraması riski olmadan savunmayı değerli ölçüde zorlaştırır. Sonuç, asgarî geliştirme gayretiyle çekirdek seviyesinde tesir sunan bir araç sınıfıdır; bu da bu araçları kolaylıkları göz önüne alındığında orantısız bir formda güçlü kılar. Bu nedenle ESET, güvenlik açığı bulunan şoförlerin yüklenmesini engellemenin savunma sınırında çok değerli bir adım olduğunu fakat mevcut çeşitli atlatma teknikleri nedeniyle bunun kolay bir adım olmadığını vurguluyor. Bu durum, neden yalnızca buna güvenilmemesi gerektiğini ve EDR katillerinin sürücüyü yükleme talihi bulamadan onları devre dışı bırakmayı hedeflemesi gerektiğini ortaya koyuyor.
Aslında, en kolay EDR engelleyiciler güvenlik açığı bulunan şoförlere yahut öteki gelişmiş tekniklere dayanmaz. Bunun yerine, yerleşik idare araçlarını ve komutlarını berbata kullanırlar. BYOVD teknikleri, çağdaş EDR engelleyicilerin ayırt edici özelliği hâline gelmiştir: Her yerde bulunur, sağlamdır ve yaygın olarak kullanılır. Tipik bir senaryoda, bir saldırgan kurbanın makinesine yasal lakin güvenlik açığı bulunan bir şoför yerleştirir, sürücüyü yükler ve akabinde şoförün güvenlik açığını berbata kullanan bir makûs emelli yazılımı çalıştırır. Daha küçük lakin büyümekte olan bir EDR katili sınıfı, çekirdeğe hiç dokunmadan amaçlarına ulaşır. Bu araçlar, EDR süreçlerini sonlandırmak yerine öbür kritik özelliklere müdahale eder.
Yapay zekâ tesiriyle yeni jenerasyon taarruz araçları gelişiyor
Yapay zekâ artık EDR katillerinin cephaneliklerindeki en yeni silah olarak kabul edilebilir. Yapay zekânın muhakkak bir kod tabanının oluşturulmasına direkt yardımcı olup olmadığını belirlemek ekseriyetle pratik olarak imkânsızdır. Bilhassa saldırganlar kodu sonradan işlediklerinde yahut gizlediklerinde, yapay zekâ tarafından üretilen kodu insan tarafından yazılan koddan sağlam bir halde ayıran kesin bir isimli belirteç yoktur. Lakin ESET araştırmacıları, son vakitlerde gözlemlenen EDR katillerinden en azından kimilerinin, yapay zekâ takviyeli üretimi güçlü bir biçimde ima eden özellikler sergilediğini pahalandırıyor. Buna açık bir örnek, Warlock fidye yazılımı çetesi tarafından yakın vakitte kullanılan bir EDR katilinde görülmektedir. Araç, yapay zekâ tarafından üretilen şablonlar için tipik bir örüntü olan muhtemel düzeltmelerin bir listesini yazdırmakla kalmayıp, muhakkak bir sürücüyü istismar etmek yerine, çalışan bir şoför bulana kadar birbiriyle ilgisiz, yaygın olarak berbata kullanılan birkaç aygıt ismini döngüsel olarak deneyen bir deneme-yanılma düzeneği da içermektedir.
ESET araştırmacısı Jakub Souček yaptığı açıklamada şunları söyledi : “Önemli bir müşahede, hizmet olarak fidye yazılımı (RaaS) ekosistemlerindeki iş kısmı. Operatörler ekseriyetle şifreleyiciyi ve destekleyici altyapıyı sağlar ancak EDR katili seçimi iş ortaklarına bırakılır. Bu, iş ortağı havuzu ne kadar büyükse EDR katili araçlarının o kadar çeşitli hâle geldiği manasına gelir. Fidye yazılımına karşı savunma, otomatik tehditlere karşı savunmadan temelde farklı bir zihniyet gerektirir. Oltalama e-postaları, yaygın makûs emelli yazılımlar ve istismar zincirleri, güvenlik tahlilleri tarafından tespit edilip etkisiz hâle getirildiğinde durur; lakin fidye yazılımı hücumları durmaz. Bunlar etkileşimli, insan odaklı operasyonlardır ve saldırganlar tespitlere, araç arızalarına ve çevresel mahzurlara daima olarak ahenk sağlar.”
Kaynak: (BYZHA) Beyaz Haber Ajansı
