Living-off-the-Land (LotL) Saldırılarından Korunma Yöntemleri Neler?

03.10.2024 - Perşembe 09:24

Siber güvenlikte, "Living-off-the-land" (LotL) ataklarının tespiti giderek zorlaşıyor. Bu ataklar, harici berbat maksatlı yazılımlara güvenmek yerine PowerShell, WMI yahut Office makroları üzere yasal sistem araçlarını kullanıyor ve saldırganların bir ağ içinde gizlice hareket etmesini sağlıyor. Klâsik güvenlik tedbirleri, sağlam, dijital olarak imzalanmış araçlar kullandıkları için bu hücumları tespit etmekte zorlanıyor. LotL taarruzları, tespit edilmekten kaçındıkları ve izlenme riskini de azalttıkları için siber hatalılara cazip geliyor. Bu yaklaşım, saldırganların daha uzun müddet kapalı kalmasını sağladığı için başarılı bir ihlal talihini da arttırıyor. WatchGuard Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez, LotL taarruzlarında kullanılan yaygın teknikleri ve bu tıp akınlara karşı korunma yollarını açıklıyor.

 

Siber güvenlik dünyasında "Living-off-the-land" (LotL) hücumları, giderek artan bir tasa kaynağı haline geliyor. Bu atak tipi, siber hatalıların mevcut sistem araçlarını kullanarak gayeye saldırmalarını ve ağlarda fark edilmeden dolaşmalarını sağlıyor. Hali hazırda bulunan mevcut sistemler, olağan işleyişin bir kesimi olarak kabul edildiğinden tespit edilme mümkünlüğü da büyük oranda azalıyor. Böylece maksat sistemde uzun mühlet kalabilme imkanı doğuyor. Sistem üzerinde denetim sağlamak, bilgilerin çalınması ve prestij zedelenmesi üzere birçok hedefi olabilen bu atak, gayeye sistem içerisindeki kaynakları kullanarak ulaştığından kuşku oluşturmuyor. WatchGuard Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez, siber güvenlik alanında muvaffakiyet elde etmek için Living-off-the-land hücumlarının yaygın tekniklerini ve korunma yollarını açıklarken bu hücumlara karşı hep hazırlıklı olunması ve proaktif savunma stratejileri geliştirmesi gerektiğini vurguluyor.

 

LotL Ataklarındaki Yaygın Teknikler Neler?

 

1. PowerShell: Sistem yöneticileri tarafından faal bir formda kullanılan ve Windows sistemleri için güçlü bir komut satırı olan PowerShell, siber saldırganlar tarafından berbat hedefli komut belgelerini indirmek ve çalıştırmak, uzak ilişkiler kurmak yahut sistem ayarlarını besbelli izler bırakmadan değiştirmek için kullanılır. 

 

2. WMI: Windows işletim sistemleri için bir idare altyapısı olan WMI, sistem bilgilerini toplamak ve idare misyonlarını yerine getirmek için kullanılır. Kullanıcı erişimi olmaksızın uzaktan komutları yürütmek, zayıf noktaları belirlemek için sistem bilgilerini toplamak yahut sistemde kalıcılığı sağlamak için kullanılır. 

 

3. Uzaktan İdare Araçları: PsExec üzere araçlar, makus emelli komutları uzaktan yürüterek amaç sistem üzerinde değişiklik yapmak için yine kullanılabilir. 

 

4. Office Makroları: Office dokümanlarına yerleştirilen berbat maksatlı makrolar, açıldığında kodu çalıştırarak kullanıcı itimadını suistimal eder ve sistemlere sızabilir.

 

Living-off-the-land Hücumlarına Karşı Korunmanın 4 Yolu

 

1. Uygulama Kontrolü: PowerShell ve WMI üzere araçları makul kullanıcılar ve süreçlerle sınırlayın.

 

2. Remote Shell ile Soruşturma ve Süratli Müdahalenin Genişletilmesi: WatchGuard Advanced EPDR'nin yeni sürümü, belgeleri almak, süreçleri incelemek ve hatta Windows, Linux yahut macOS olsun uç noktada direkt harekette bulunmak için uzak bir kabuk açma yeteneğini içeriyor.

 

3. Risk Oluşturan Kontaklar Konusunda Dikkat: Ağ segmentasyonu kullanılarak farklı ağ segmentleri yahut uç noktaları ortasındaki irtibatın sonlandırılması, saldırganların LotL tekniklerini kullanarak yanal olarak hareket etmesini önleyebilir.

 

4. Eğitim ve Farkındalık: Çalışanlara makroların riskleri ve idare araçlarının inançlı kullanımı konusunda eğitim verilmesi, makus gayeli komut belgelerinin kazara yürütülmesinin önlenmesine yardımcı olabilir.

 

5. İzleme ve Otomatik Davranış Analizi: Yalnızca imzalara yahut uç nokta teknolojisine güvenmek yerine, olağandışı sistem etkinliklerini tespit etmek için bulutta davranış analitiğini kullanın. Stratejilerin başarılı bir biçimde uygulanması için, güvenilmeyen uygulamaları engelleyen ve sadece güvenilirliklerini doğruladıktan sonra yürütülmelerine müsaade veren Sıfır İnanç Uygulama Hizmeti ve Tehdit Avı Hizmetinin yanı sıra, WatchGuard Advanced EPDR, güvenlik analistlerinin LotL tekniklerini kullanarak bir saldırganın varlığını süratle tespit edip karşılık vermesini sağlayan fonksiyonlar sunuyor. 

Kaynak: (BYZHA) Beyaz Haber Ajansı