Siber Güvenlikte Living-off-the-land (LotL) Saldırıları
Siber güvenlik alanında, “Living-off-the-land” (LotL) saldırıları giderek daha karmaşık hale gelmekte ve tespit edilmeleri zorlaşmaktadır. Bu tür saldırılar, dışarıdan kötü amaçlı yazılımlara başvurmak yerine, PowerShell, WMI ve Office makroları gibi mevcut sistem araçlarını kullanarak gerçekleştirilmektedir. Bu durum, saldırganların bir ağ içerisinde gizlice hareket etmelerine olanak tanır. Geleneksel güvenlik önlemleri, söz konusu araçların genellikle güvenilir ve dijital olarak imzalanmış olmaları nedeniyle bu saldırıları tespit etmekte zorlanıyor. LotL saldırıları, tespit edilmekten kaçınma ve izlenme riskini azaltma özellikleri sebebiyle siber suçlular için oldukça cazip bir yöntem haline gelmiştir. Bu yaklaşım, saldırganların daha uzun süre gizli kalmalarını sağlamakta ve böylece başarılı bir ihlal şansını artırmaktadır.
WatchGuard Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez, LotL saldırılarında kullanılan yaygın teknikleri ve bu tür saldırılara karşı nasıl korunulabileceğini detaylandırıyor. Siber güvenlik dünyasında, “Living-off-the-land” saldırıları giderek artan bir endişe kaynağı olmaktadır. Bu saldırı türü, siber suçluların mevcut sistem araçlarını kullanarak hedeflerine saldırmalarını ve ağlarda fark edilmeden dolaşmalarını sağlıyor. Mevcut sistemlerin normal işleyişin bir parçası olarak kabul edilmesi, tespit edilme olasılığını büyük ölçüde azaltıyor. Böylelikle, hedef sistemlerde uzun süre kalabilme imkanı doğuyor. Sistem üzerinde kontrol sağlamak, verilerin çalınması ve itibar zedelenmesi gibi birçok amacı olan bu saldırı, hedefe sistem içerisindeki kaynakları kullanarak ulaşmasından dolayı şüphe oluşturmuyor.
Yusuf Evmez, siber güvenlik alanında başarı elde etmek için Living-off-the-land saldırılarının yaygın tekniklerini ve korunma yollarını açıklarken, bu saldırılara karşı daima hazırlıklı olunması gerektiğinin altını çiziyor. Proaktif savunma stratejileri geliştirmek, siber güvenlikte hayati bir önem taşımaktadır.
LotL Saldırılarında Kullanılan Yaygın Teknikler
- PowerShell: Windows sistemleri için güçlü bir komut satırı aracı olan PowerShell, sistem yöneticileri tarafından aktif olarak kullanılmakta. Ancak siber saldırganlar, bu aracı kötü niyetli komut dosyalarını indirmek, çalıştırmak, uzak bağlantılar kurmak veya sistem ayarlarını iz bırakmadan değiştirmek amacıyla kullanabiliyorlar.
- WMI: Windows işletim sistemleri için bir yönetim altyapısı olan WMI, sistem bilgilerini toplamak ve yönetim görevlerini yerine getirmek için kullanılır. Kullanıcı erişimi olmaksızın uzaktan komutları yürütmek, zayıf noktaları belirlemek için sistem verilerini toplamak veya sistemde kalıcılığı sağlamak için tercih edilmektedir.
- Uzaktan Yönetim Araçları: PsExec gibi araçlar, kötü amaçlı komutları uzaktan yürüterek hedef sistem üzerinde değişiklik yapmak için yeniden kullanılabilir.
- Office Makroları: Office belgelerine yerleştirilen kötü amaçlı makrolar, açıldığında otomatik olarak kodu çalıştırarak kullanıcı güvenini suistimal eder ve sistemlere sızabilir.
Living-off-the-land Saldırılarına Karşı Korunmanın Yolları
- Uygulama Denetimi: PowerShell ve WMI gibi araçların kullanımını belirli kullanıcılarla ve işlemlerle sınırlamak, güvenliği artırabilir.
- Uzaktan Shell ile Soruşturma ve Hızlı Müdahale: WatchGuard Advanced EPDR’nin yeni sürümü, uzaktan kabuk açma yeteneği ile dosyaları almak, işlemleri incelemek ve Windows, Linux veya macOS platformlarında doğrudan eylemde bulunma imkanı sunuyor.
- Risk Oluşturan Bağlantılar Konusunda Dikkat: Ağ segmentasyonu kullanarak farklı ağ segmentleri veya uç noktaları arasındaki iletişimi sınırlandırmak, saldırganların LotL tekniklerini kullanarak yanal olarak hareket etmesini önleyebilir.
- Eğitim ve Farkındalık: Çalışanlara makroların riskleri ve yönetim araçlarının güvenli kullanımı konusunda eğitim vermek, kötü amaçlı komut dosyalarının yanlışlıkla yürütülmesinin önlenmesine yardımcı olabilir.
- İzleme ve Otomatik Davranış Analizi: Sadece imzalara veya uç nokta teknolojisine güvenmek yerine, olağandışı sistem etkinliklerini tespit etmek için bulut tabanlı davranış analitiği kullanmak büyük önem taşır.
Stratejilerin başarılı bir şekilde uygulanması için, güvenilmeyen uygulamaları engelleyen ve yalnızca güvenilirliklerini doğruladıktan sonra yürütülmelerine izin veren Sıfır Güven Uygulama Hizmeti ve Tehdit Avı Hizmeti gibi çözümler kullanmak gerekmektedir. WatchGuard Advanced EPDR, güvenlik analistlerinin LotL tekniklerini kullanarak bir saldırganın varlığını hızla tespit edip yanıt vermesini sağlayan işlevler sunmaktadır.
KAYNAK: HABER7
