Yeni Picus Red Report “İsviçre Çakısı” Olarak Nitelendirilen Hasarlı Yazılımlara Karşı Uyarıyor. Yeni ortaya çıkan çok güzergahlı hasarlı yazılımlar atlatma, yanal hareket ve bilgi şifrelemede oldukça maharetli

Siber İhlal ve Atak Simulasyonu BAS alanının kurucusu olan Picus Security, 550 bin ’den fazla hasarlı yazılımın derinlemesine inceleme edildiği ve bugüne kadar yapılan en geniş çaplı araştırma olan The Red Report 2023 ’ü yayınladı. 

Bu rapor kapsamında analistler, hasarlı yazılımların tavırlarını gözlemleyerek 5 milyondan fazla hasarlı aksiyonu ortaya çıkardı ve bu bilgileri 2022 senesinde siber kabahatliler tarafından kullanılan en yaygın on atak tekniğini tanımlamak için kullandı. Picus, bu raporun belirtilerine direnerek, güvenlik hakimiyetlerini atlatabilen ve Cyber Kill Chain düzeylerinin bir çoğunda hasarlı aksiyonlar asıllaştırabilen ve “İsviçre çakısı”  olarak nitelendirilen çok emelli hasarlı yazılımların” çoğalacağı mevzusunda uyarıyor.

Picus Labs ’ın inceleme ettiği hasarlı yazılımların üçte birinin 20 ’den fazla ayrı Strateji, Teknik ve Prosedür TTP sergileyebilmesi, aktüel hasarlı yazılımların çok istikametliliğini ortaya koyuyor. Bu hasarlı yazılımlar giderek artan bir biçimde hasarlı olmayan yazılımları makûsa kullanabiliyor, yanal hareket reelleştirebiliyor ve dosyaları şifreleyebiliyor. Fidye yazılımlarının artan karışıklığı, iyi finanse edilen fidye yazılımı kartellerinin geniş kaynaklarından ve güvenlik takımları tarafından kullanılan tavır tabanlı hücum tespit usullerinin giderek büyümesinden dolayı tehdit oyuncularının yeni atlatma teknikleri aramalarından kaynaklanıyor.

“Çağdaş hasarlı yazılımlar çok değişik formlarda karşımıza çıkmaktadır,” diyen Picus Security Kurucu Ortağı ve Genel Müdür Destekçisi Dr. Süleyman Özarslan şunları aktardı: “Hasarlı yazılımların bazı kolay cinsleri temel işlevlerin yerine getirilmesi için planlanmıştır. Ötekileriyse bir cerrahın bisturiyi gibi tek bir vazifeyi çok hassas bir biçimde yerine getirmek üzere geliştirilmiştir. Günümüzde ise bu iki özelliğe de sahip, her şeyi yapabilen daha fazla hasarlı yazılım görüyoruz. ‘İsviçre çakısı ’ gibi pek çok işlevi barındıran bu hasarlı yazılımlar saldırganların ağlarda fark edilmeden büyük bir süratle ilerlemesini, kritik sistemlere ulaşmak için kimlik bilgilerini elde etmesini ve bilgileri şifrelemesini sağlayabilir.”

Picus ’un her sene kumpaslı olarak yayınladığı bir rapor olan Red Report, hasarlı yazılımların zaman içindeki gelişimini takip etmeye olanak verdiği için oldukça ehemmiyetli. Rapor neticeleri ayrıca güvenlik takımlarının MITRE ATT&CK siber hücum çerçevesinde yer alan en yaygın atak tekniklerine karşı alınacak ihtiyatların önceliklendirilmesine de destekçi oluyor.

Raporda öne çıkan belirtiler şöyle: 

Hasarlı yazılımların geneli 11 TTP kullanıyor. Hasarlı yazılımların üçte biri %32 20 ’den fazla TTP ’den, onda biri ise 30 ’dan fazla TTP ’den faydalanıyor. Kod ve Komut Dosyası Açıklayıcısı Command and Scripting Interpreter, hasarlı yazılım misallerinin takribî üçte biri tarafından kullanolan en yaygın ATT&CK tekniği olarak karşımıza çıkıyor. Uzaktan Sistem Bulguyu Remote System Discovery ve Uzak Hizmetlerin Remote Services ilk defa The Red Report Top 10 ’de yer alması, hasarlı yazılımların tespit edilmemek için işletim sistemlerindeki yerleşik taşıtları ve protokolleri ne miktarda makûsa kullandığının başka bir göstergesi. Tespit edilen en yaygın 10 ATT&CK tekniğinden dördü, müessesesel ağlar içinde yanal hareketlere destek olmak emeliyle kullanılıyor. Tüm hasarlı yazılımların dörtte biri bilgileri şifreleme kapasitesine sahip ve bu gidişat fidye yazılım tehdidinin devam ettiğinin ehemmiyetli bir göstergesi.

“Hem fidye yazılımı cerrahlarının hem de dünyadaki devlet destekli tehdit oyuncularının emeli, bir gayeye olası olduğunca süratli ve faydalı bir biçimde erişmektir,” diyen Dr. Ozarslan şöyle konuştu: 

“Günümüzde daha fazla hasarlı yazılımın yanal hareket hakikatleştirebilmesi, her cinsten siber saldırganın BT etraflarındaki değişikliklere geçim sağlamak zorunda kaldığının ve parasal hasılat sağlamak için daha çok çalıştığının bir işareti. Gitgide daha sofistike hale gelen hasarlı yazılımlara karşı korunma yapmak zorunda kalan güvenlik takımları bu gidişatla çaba edebilmek için yaklaşımlarını geliştirmeye devam etmeli. Müesseseler, yaygın olarak kullanılan hücum tekniklerine öncelik vererek ve güvenlik hakimiyetlerinin faalliğini devamlı olarak doğrulayarak kritik varlıklarını korunma mevzusunda çok daha hazırlıklı olabilirler. Ayrıca bu sayede tüm dikkat ve kaynaklarının siber korunmalarında en büyük tesiri yaratacak alanlar üzerinde yoğunlaşmasını sağlayabileceklerdir.”

Ehemmiyetli anekdotlar:

Metodoloji

Picus Labs, Ocak 2022 ile Aralık 2022 tarihleri arasında 556,107 özel dosyayı çözümleydi ve bunlardan 507,912 ’sinin %91 hasarlı olarak sınıflandırıldığını tanımladı. 

Altta belirtilenlerle hudutlu olmamak üzere bu dosyaların kaynakları şunlardır: 

Ticari ve sarih kaynaklı tehdit istihbarat servisleri Güvenlik üreticileri ve analistleri Hasarlı yazılım sandbox sistemleri Hasarlı yazılım veritabanları

Toplam 5.388.946 harekâtın elde edildiği bu dosyalardan hasarlı yazılım başına vasati 11 hasarlı aksiyon tespit edilmiştir. Bu aksiyonlar daha sonra MITRE ATT&CK teknikleriyle eşleştirimişi ve hasarlı yazılım başına vasati 9 atak tekni kullanıldığı ortaya çıkmıştır.

Picus Labs analistleri, Red Report 2023 Top Deri ’i derlemek için her bir tekniği kullanan hasarlı dosya rakamını tespit etti. Ardından, bilgi kümesinde bu tekniği kullanan hasarlı yazılımların yüzdesini hesapladı. Misalin, T1059 Kod ve Komut Dosyası Açıklayıcısı tekniği, inceleme edilen 507.912 hasarlı dosyanın 159.196 ’sı %31 tarafından kullanıldı.

Kaynak: adamnedio.com