DOLANDIRICILARI SİZİ DURDURMADAN ÖNCE DURDURUN!
Paul Ducklin dünyaca ünlü siber güvenlik uzmanıyla konuşuyor Fraser Howard, SophosLabs'te Araştırma Direktörü, son çalışmalarımız sırasında kaydedilen bu büyüleyici bölümde Güvenlik SOS Haftası 2022.
Siber suçla mücadele söz konusu olduğunda, Fraser gerçekten "her konuda uzmandır" ve ayrıca bu aldatıcı ve tehlikeli konuyu sade bir İngilizce ile açıklama becerisine sahiptir.
Herhangi bir noktaya atlamak için aşağıdaki ses dalgalarına tıklayın ve sürükleyin. Ayrıca doğrudan dinle Soundcloud'da.
Giriş ve çıkış müziği Edith Çamur.
adresinden bizi dinleyebilirsiniz. Soundcloud, Apple Podcast'leri, Google Podcast'ler, Spotify, dikiş ve iyi podcast'lerin bulunduğu her yerde. Ya da sadece bırak RSS beslememizin URL'si en sevdiğiniz podcatcher'a girin.
TRANSKRİPTİ OKUYUN
[ROBOT SESİ: Sophos Güvenlik Acil Yardım]
PAUL DUCKLIN. Herkese merhaba.
Sophos Security SOS haftasına hoş geldiniz.
Bugünün konusu: Siber tehditleri önleme – onlar sizi durdurmadan onları durdurun!
Ve bugünkü konuğumuz SophosLabs Araştırma Direktörü Bay Fraser Howard'dan başkası değil.
Şimdi, daha önce SOS Week'i dinleyenler, Fraser'ı "her şeyde uzman" olarak tanımlamayı sevdiğimi bileceklerdir, çünkü onun bilgisi sadece geniş değil, aynı zamanda inanılmaz derecede derin.
Elektronik tablodaki her hücreyi işaretliyor diyebilirsiniz.
Fraser, SOS Haftası'na tekrar hoş geldin.
"Living-off-the-land binary" kelimesinin kısaltması olduğuna inandığım LOLBIN adlı bir şeye odaklanarak başlamak istedim.
FRASER HOWARD. Tam olarak.
ÖRDEK. Ve şu andaki en büyük sorun, en olası LOLBIN'in veya dolandırıcıların yemek yiyeceği en olası önceden yüklenmiş programın, daha iyi bir ifade istemek için Windows'ta yerleşik olan PowerShell'den başka bir şey olmaması gibi görünüyor. .
Yükler yüklemez Windows'un her sürümünde kullanılabilir.
Ve bu, bugünlerde Windows'un kendisi için bir yönetim aracıdır.
Peki onsuz nasıl yaşarsın?
FRASER. Aynen - tıpkı sizin tanımladığınız gibi, saldırganların bakış açısından, LOLBIN'ler harika.
Ya dövüşe kendi bıçaklarını getirirler ve bıçakları sistemdeki diğer her şeyden çok farklı görünebilir...
…ya da ilk etapta sistemde bulunan bir bıçağı kullanırlar.
Ve bu, bariz nedenlerden dolayı saldırgan için avantajlıdır.
Herhangi bir güvenlik yazılımı yepyeni, parlak, bilinmeyen bir uygulamanın birdenbire çalıştırıldığını ve saldırının bir parçası olarak kullanıldığını görmez.
Ancak PowerShell gibi araçlar zaten orada - işte o zaman oyunlar, "Bu iyi bir şey mi yoksa kötü bir şey mi?"
Keşke kötü niyetli PowerShell'i iyi huyluya karşı nasıl tespit ettiğimize dair tek satırlık bir cevap olsaydı, ama aslında bu oldukça karmaşık bir durum.
PowerShell işlemi tam olarak ne yapıyor?
Yelpazenin bir ucunda, örneğin uygulama kontrolü gibi bir teknoloji kullanabilirsiniz.
Ve bir yönetici olarak şunları seçebilirsiniz: "PowerShell, ortamımda çalışmanıza izin verilmemelidir."
İsterseniz bu bir tür her derde devadır ve PowerShell'in suistimal edilmesini durdurur, ancak aynı zamanda günümüzde çoğu Windows makinesinin çekirdek yönetimi de dahil olmak üzere birçok meşru etkinliği de bozar.
ÖRDEK. Tamam yani uygulama kontrolü Sophos'un kötü amaçlı yazılım olmayan ancak bilgili bir yöneticinin kendi ortamında desteklemek istemeyebileceği yazılımları algılama ve isteğe bağlı olarak engelleme yeteneğine verdiği addır?
FRASER. Kesinlikle.
Ve bu sadece yöneticiler ve "Kullanıcılarımın hangi uygulamayı kullanmasına izin verilmeli?"
Temel bilgilerle ilgili.
Güvenliği düşünürseniz, son 5-10 yıldır insanlara söylediğimiz şeylerden biri nedir?
"Yama!"
Bir yöneticiyseniz ve herhangi birinin tarayıcısı için istediği uygulamayı kullanmasına izin veriyorsanız, yama uygulamanız gereken belki 5 ila 10 farklı tarayıcıdır.
Aslında, yöneticiler için uygulama kontrolü gibi teknolojiler, bu tehdit yüzeyini daraltmalarına olanak tanır.
ÖRDEK. Ancak PowerShell... bazı insanlar, "Ah, PowerShell'i engelleyin. Hepsini engelle .PS1 Dosyalar. İş bitmiş."
FRASER. Bu kadar basit değil!
ÖRDEK. Bir sistem yöneticisi, modern bir Windows ağında PowerShell olmadan yönetebilir mi?
FRASER. [DURAKLAT] Hayır.
[GÜLÜYOR]
Demek istediğim, örneğin yalnızca belirli imzalı komut dosyalarının çalıştırılmasına izin vermek için seçebilecekleri politika seçenekleri var.
Ancak saldırganların bildiği ve bu mekanizmaları da aşmaya çalışan çok çeşitli ipuçları ve teknikler var.
Eski betik motorlarından bazıları… en iyi örnek, Windows Komut Dosyası Sistemi'dir – çoğu kişi onun orada olduğunu bilmez.
PowerShell yönetici için tek adres değil, ancak WSCRIPT ve CSCRIPT...
…bu ikili dosyalar yine her bir Windows kutusundadır.
Doğrudan bloke edilmeleri çok daha uygundur ve yine kötü amaçlı yazılımlar tarafından suistimal edilirler.
ÖRDEK. Windows Komut Dosyası Sistemi, JavaScript (tarayıcınızda, tarayıcınızın dışında çalışmıyor) ve eski güzel Visual Basic Komut Dosyası gibi şeyler içeriyor mu?
FRASER. Bir sürü var.
ÖRDEK. Şimdi, Visual Basic betiği Microsoft tarafından durduruldu, değil mi?
Ama hala destekleniyor ve hala çok yaygın olarak kullanılıyor?
FRASER. Bad Guys arasında çok popüler, evet.
Ve bu sadece komut dosyası motorları değil.
Dışarıdaki bazı ana LOLBIN listelerinde tam olarak kaç tane ikili dosya olduğunu hatırlayamıyorum.
Doğru anahtar kombinasyonuyla, birdenbire, yerel olarak sertifikaları yönetmek için kullanabileceğiniz bir ikili dosya…
…aslında uzak bir sunucudan herhangi bir içeriği indirmek ve yerel olarak diske kaydetmek için kullanılabilir.
ÖRDEK. Bu mu CERTUTIL.EXE?
FRASER. Evet, CERTUTIL, Örneğin.
ÖRDEK. Çünkü bu, dosya karmalarını hesaplamak gibi şeyler yapmak için de kullanılabilir.
FRASER. Örneğin, base64 kodlu yürütülebilir içeriği indirmek, yerel olarak kaydetmek ve kodunu çözmek için kullanılabilir.
Ve sonra bu içerik, örneğin potansiyel olarak web ağ geçitlerinizden geçmenin bir yolu olarak çalıştırılabilir.
ÖRDEK. Ve bu, PowerShell ile daha da kötüleşiyor, değil mi?
Çünkü base64 ile kodlanmış bir dize alıp bunu giriş betiği olarak PowerShell'e besleyebilirsiniz ve o sizin için sessizce kodunu çözecektir.
Ve hatta bir komut satırı seçeneği bile koyabilirsiniz, "Hey, kullanıcı 'komut satırından komut dosyalarının çalıştırılmasına izin verme' dediyse, görmezden gelin - bunu geçersiz kılmak istiyorum" diyemez misiniz?
FRASER. Bahsettin .PS1 dosyaları.
Bu, diskte var olabilecek fiziksel bir betik dosyasıdır.
Aslında, PowerShell işleri dosyasız yapmakta oldukça ustadır, dolayısıyla yalnızca komut satırının kendisi PowerShell komutunun tamamını içerebilir.
ÖRDEK. Şimdi, anladığım kadarıyla çoğu sözde "dosyasız kötü amaçlı yazılım" dosyaları içeriyor, muhtemelen işleyişinde oldukça fazla dosya var...
…ama tespit edebileceğiniz bir şeyin *yalnızca bellekte* var olduğu kilit bir nokta olacaktır.
Bu nedenle, yalnızca disk erişimini izleyebilen güvenlik yazılımı kaçıracaktır.
Dolandırıcıların tüm bu yarı şüpheli şeylere sahip olduğu ve sonra bu dosyasız, yalnızca hafıza numarasıyla gerçekten tehlikeli kısmı gizledikleri bu tür bir durumla nasıl başa çıkıyorsunuz?
Bununla nasıl başa çıkıyorsun?
FRASER. Bununla, özellikle PowerShell ile ilgili olarak, başa çıkma yollarımızdan biri, Microsoft'un bize PowerShell'in davranışına ilişkin görünürlük sağlayan bir arabirim sağlamasıdır.
Yani AMSI, satıcıların, güvenlik satıcılarının kötü amaçlı yazılımları gözetlemek için kullanabilecekleri bir arabirimdir.
ÖRDEK. AMSI… Kötü Amaçlı Yazılıma Karşı Tarama Arayüzü?
FRASER. Kesinlikle.
Bize herhangi bir zamanda PowerShell'in davranışına bir pencere verir.
Yani, işleri dosyasız yapıyor olabileceğinden… diskte dosya arayan herhangi bir geleneksel yakalama noktası devreye girmeyecek.
Ancak, isterseniz, PowerShell'in kendisinin davranışı, AMSI arayüzü içinde, bize belirli kötü amaçlı PowerShell etkinliği türlerini tanıma ve engelleme yeteneği veren etkinlik üretecektir.
Diğer bir şey de, “dosyasız” kötü adamlar için bir nevi her derde deva olarak görülse de…
…aslında, çoğu saldırganın bir noktada peşinde olduğu şeylerden biri de bizim sebat.
Tamam, makinede çalışan bazı kodları var... ama makine yeniden başlatılırsa ne olur?
Ve bu nedenle, dosyasız kötü amaçlı yazılımları genellikle bir miktar kalıcılık eklemeye çalışır.
Bu nedenle, gördüğümüz dosyasız saldırıların çoğu, genellikle Windows Kayıt Defteri ile gerçekten etkileşime sahiptir - kalıcılık elde etmenin bir yolu olarak kayıt defterini kullanırlar.
Tipik olarak, kayıt defterine bir tür BLOB [ikili büyük nesne] veri koyarlar ve bazı kayıt defteri anahtarlarını, makine yeniden başlatıldığında BLOB'un kodunun çözüleceği ve kötü niyetli davranışın yeniden devam edeceği şekilde değiştirirler.
Bugünün ürünleri, basitten olağanüstü karmaşıklığa kadar çok çeşitli teknolojilerle ilgilidir.
ÖRDEK. Bu aynı zamanda insanların neden kötü amaçlı yazılımların öncüsü olan ancak kendilerinin açıkça kötü amaçlı olmayan dosyaları alıp örneğin Virus Total gibi bir çevrimiçi hizmete yüklediklerini açıklamaya da yardımcı olur...
…ve "Hey, kimse bunu fark etmiyor. Tüm güvenlik ürünleri işe yaramaz.”
Ancak bu, dosyanın canlanabileceği ve durdurulmadan kötü şeyler yapmaya başlayabileceği anlamına gelmez…
FRASER. Bu çok iyi bir nokta.
Bence bu, güvenlik endüstrisinin denediği bir şey… ama hala bunun hakkında konuşuyor olmamız, muhtemelen bu noktayı anlamada başarısız olduk:
Koruma nedir?
Aslında ne demek istiyoruz?
Birini bir tehdide karşı korumak genellikle ne anlama gelir?
Çoğu insan bunu şöyle düşünme eğilimindedir… Tamam, bir tehditleri var; “tehdit” olan bir dosya istiyorlar; ve bu dosyanın algılanıp algılanmadığını görmek istiyorlar.
Ama bu özel saldırı… bunun bir bot olduğunu varsayalım.
Bu dosyalardan *her gün* 10,000 tane olabilir, çünkü kötü adamlar kollarını çevirirler ve aslında hepsi aynı temel şey olan birçok farklı kopya üretirler.
Ve bu dosyalardan 1, 10 veya 100 tanesinin tespit edilmesi…
…bir ürünün bu tehdide karşı ne kadar iyi koruyabileceği hakkında size pek bir şey söylemez.
ÖRDEK. “Bot” şu anlama gelir: yazılım robotu?.
Temel olarak, bu, bilgisayarınızda düzenli olarak oturan, evi arayan veya rastgele bir sunucuyu yoklayan bir şey mi?
FRASER. Kesinlikle.
ÖRDEK. Bu sunucu günden güne değişebilir… ve bot sık sık "Spam gönderilecek e-posta adreslerinin listesi" gibi bir talimat listesi indirir.
Ardından, "İşte karıştırmanızı istediğim dosya uzantılarının bir listesi" olabilir veya "Keylogger'ı aç" olabilir mi?
FRASER. Kesinlikle.
ÖRDEK. Veya "Hemen bir ekran görüntüsü alın, bankacılık uygulamasındalar".
Esasen aktif bir arka kapı…
FRASER. Bu bir arka kapıdır, evet.
Ve 20 yıl önce arka kapılardan bahsetmiştik… 20 yıl önce müşteri sunumları yaptığımı hatırlıyorum, arka kapılardan bahsediyordum.
ÖRDEK. “Arka Delik”, hatırlarsanız…
FRASER. Evet evet!
Müşterileri, dışarıdaki pek çok arka kapının aslında o günün yüksek profilli kötü amaçlı yazılımlarından daha önemli olduğuna ikna etmeye çalışıyorduk.
Size bulaşmak istemeyeceğiniz şey arka kapılardır, bu da bir yerlerdeki bazı kötü niyetli kişilerin makinenizi kontrol etmesine ve dosya sisteminize göz atmak veya sisteminizdeki verileri değiştirmek gibi kötü şeyler yapmasına izin verir.
Bu, örneğin bilgisayardan bilgisayara yayılan kendi kendini kopyalayan bir solucandan çok daha korkutucu bir tehdittir.
Bu basına yansıyabilir ve kendi içinde ve kendi içinde sorunlara neden olabilir…
…ama aslında, birisinin sisteminize erişimi olması gerçekten çok daha büyük bir tehdit olabilir.
ÖRDEK. Ve Back Orifice'ı düşündüğümüzde... 1999 yılı neydi? 2000 mi?
13337 numaralı bağlantı noktasını dinlemesiyle meşhur, değil mi?
FRASER. İyi bir hafızan var [GÜLER]… evet, “seçkin”!
ÖRDEK. Ve insanlar evlerinde DSL bağlantılarına girmeye ve bir ev yönlendiricisine sahip olmaya başlar başlamaz, gelen bağlantılar çalışmadığı için Back Orifice işe yaramaz hale geldi.
Ve böylece insanlar şöyle düşündü: "Arka kapılar gelen ağ bağlantılarına güvenir - Varsayılan olarak ISP'm tarafından korunuyorum, bu yüzden endişelenmeme gerek yok."
Ancak günümüzün zombileri, günümüzün robotları - bir tür şifreli veya gizli kanal kullanarak evi ararlar ve talimatları *indirirler*…
FRASER. Ve HTTPS üzerinde olduğu için, temelde bu ağ etkinliğini çoğu ev bağlantısında her dakika giden diğer milyon bir web paketi arasında gizlerler.
ÖRDEK. Derinlemesine savunma veya katmanlı koruma istemenizin başka bir nedeni de bu mu?
FRASER. Evet.
ÖRDEK. Açıkçası, yeni dosyalar – onları incelemek istersiniz; tespit etmiş olabileceğiniz kötü amaçlı yazılımları kaçırmak istemezsiniz.
Ancak dosya şu anda masum olabilir ve yüklendikten sonra hileli olabilir; kendini hafızada manipüle ettikten sonra; çağrıldıktan ve bir şeyler indirildikten sonra…
FRASER. Ve böylece, orijinal noktaya geri dönecek olursak: bugün güvenlik ürünlerini nasıl ölçtüğümüz, her zamankinden daha karmaşık.
ÖRDEK. Çünkü bazı insanlar hala, bir ürünü gerçekten test etmek istiyorsanız, kötü amaçlı yazılımla dolu dev bir kova dolusu dosya alacağınız fikrine sahipler…
FRASER. Halk arasında "hayvanat bahçesi" olarak adlandırılır.
ÖRDEK. …ve bunu izole bir yerde bir sunucuya koyarsınız.
Sonra onu statik bir tarayıcıyla tararsınız ve kaç tanesini algıladığını bulursunuz ve bu size ürünün nasıl davrandığını söyler.
“Virüs Total” yaklaşımı.
Ancak şu: [A] iyi ürünleri hafife alma eğiliminde olacaktır ve [B] kötü ürünleri abartabilir.
FRASER. Veya bu tür hayvanat bahçesi tabanlı testlerde öncelikle iyi görünmek amacıyla yalnızca dosyaları algılamada uzmanlaşmış ürünler.
Bu, gerçek dünyada gerçekten iyi düzeyde koruma sağlayacak bir ürün anlamına gelmez!
Gerçekte, dosyaları engelleriz... tabii ki engelleriz - dosya, isterseniz, koruma açısından hala çok önemli bir para birimidir.
Ancak, örneğin kötü amaçlı PowerShell etkinliğini engellememizi sağlayan AMSI arabirimi ve bir programın davranışı gibi pek çok başka şey vardır.
Dolayısıyla, ürünümüzde davranışsal motor, süreçlerin, ağın, trafiğin, kayıt defteri etkinliğinin davranışına bakar...
...ve bu birleşik resim, belirli bir aileyi veya hatta belirli bir tür tehdidi değil, yalnızca *kötü niyetli etkinliği* engelleme amacıyla potansiyel olarak kötü niyetli davranışları tespit etmemizi sağlar.
Tamamen kötü niyetli olduğunu belirleyebileceğimiz belirli davranış türleri varsa, genellikle bunu engellemeye çalışırız.
Bugün belirli bir tür kötü niyetli davranışı engelleyebiliriz ve ardından henüz yazılmamış bir tehdit ailesini engelleyebiliriz - üç ay içinde aynı davranışı kullanabilir ve proaktif olarak tespit edeceğiz.
Yaptığımız işin Kutsal Kâse'si bu: proaktif koruma.
Gelecekte kötü niyetli davranışları başarılı bir şekilde engelleyebilecek bir şeyi bugün yazabilmemiz.
ÖRDEK. Sanırım buna iyi bir örnek, daha önce bahsettiğimiz şeye geri dönecek olursak, CERTUTIL.EXE – bu sertifika doğrulama aracı.
Bunu kendi komut dosyalarınızda, kendi sistem yönetimi araçlarınızda kullanıyor olabilirsiniz, ancak bu program bunları yapmak için yapılmış olsa da, beklemeyeceğiniz bazı davranışlar vardır.
Öne çıkacaklardı.
FRASER. Tam olarak öne çıkacaklardı.
ÖRDEK. Yani “Program kötü” diyemezsiniz ama davranışının bir noktasında “Aha, şimdi çok ileri gitti!” diyebilirsiniz.
FRASER. Ve bu, günümüz manzarasının başka bir ilginç yönüne değiniyor.
Tarihsel olarak, EVIL.EXE koşar; dosyayı tespit edebiliriz; bazı kötü niyetli davranışlar tespit edebiliriz; sisteminizden temizliyoruz.
LOLBIN'lerden bahsettiniz… Açıkçası, PowerShell'in kötü niyetli bir şey yaptığını tespit ettiğimizde, kaldırmayız POWERSHELL.EXE o sistemden.
ÖRDEK. "Ooh, Windows'u kötü bir şey yaparken buldum - tüm sistemi sil!"
[GÜLÜYOR]
FRASER. Temelde bu süreci engelliyoruz; yapmak üzere olduğu şeyi yaparak bu süreci durdururuz; ve sonlandırıyoruz.
Ancak PowerShell, fiziksel sistemde hala var.
Aslında bugünün saldırganları da dünün saldırganlarından çok farklı.
Bugünün hücum oyuncularının amacı bir hedefe sahip olmaktır; bir amaca sahip olmak.
İsterseniz eski model daha çok püskürt ve dua et şeklindeydi.
Biri saldırıyı engellerse… şanssızlık, pes ederler – orada insan varlığı yoktur.
Saldırı işe yararsa, veriler çalınır, bir makine tehlikeye girer, ne olursa olsun, ancak saldırı engellenirse sistemde başka hiçbir şey olmaz.
Bugünkü saldırılarda aslında çok daha fazla insan unsuru var.
Bu nedenle, tipik olarak, bugün gördüğümüz birçok saldırıda - bu, dolandırıcıların özellikle fidye yazılımı oluşturmalarıyla belirli kuruluşları hedef almaya çalıştıkları birçok fidye yazılımı saldırısında görülür.
…bir şey engellendiğinde tekrar denerler ve tekrar denemeye devam ederler.
Bir şeyleri engellediğimiz ve farklı türde kötü niyetli davranışları engellediğimiz için, perde arkasında bir şeyler var; perde arkasındaki bazı *kişiler*; perde arkasındaki bazı tehdit grupları yeniden deniyor.
ÖRDEK. 10 veya 15 yıl önce, "Ah, bu yepyeni, daha önce bilinmeyen Word kötü amaçlı yazılımını bulduk. Dosyayı silip temizledik ve günlüğe yazdık”.
Ve herkes toplantıya girer, işaretler ve birbirlerinin sırtına vurur, "Harika! İş bitmiş! Gelecek aya hazır.”
FRASER. Şimdi, çok farklı.
ÖRDEK. Bugün, *saldırı bu değildi*.
FRASER. Hayır!
ÖRDEK. Bu sadece bir öncüydü, "Acaba hangi marka duman dedektörleri kullanıyorlar?" bir tür test.
FRASER. Kesinlikle.
ÖRDEK. Ve bu kötü amaçlı yazılımı kullanmayı planlamıyorlar.
Tam olarak hangi korumaya sahip olduğunuzu tahmin etmeye çalışıyorlar.
Neler açık; hangi dizinlerin dahil olduğu; hangi dizinler taramanızın dışında tutulur; hangi ortam ayarlarına sahipsiniz?
FRASER. Ve bugün hakkında konuştuğumuz şey aktif düşmanlar.
Aktif rakipler… çok fazla baskı görüyorlar.
Tüm MITRE ATT&CK çerçevesinin konsepti budur – bu aslında bir İncil'dir, taktik kombinasyonlarının bir sözlüğüdür.
Taktikler dikeydir; yataylar tekniklerdir.
Sanırım 14 taktik var ama kaç teknik bilmiyorum… yüzlerce?
ÖRDEK. MITRE ızgarası biraz baş döndürücü olabilir!
FRASER. Temelde, temelde bir sistemde iyi ya da kötü için kullanılabilecek farklı türde şeylerin, farklı teknik türlerinin bir sözlüğüdür.
Ancak esasen saldırganlara ve aktif düşmanlara yöneliktir.
İsterseniz, aktif bir düşmanın sistemdeyken neler yapabileceğinin bir taksonomisidir.
ÖRDEK. Doğru, çünkü eski günlerde (siz ve ben bunu hatırlayacağız, çünkü ikimiz de kapsamlı kötü amaçlı yazılım açıklamaları yazmak için zaman harcadık, 15 veya 20 yıl önce gerekli olan türden şeyler - siz bahsediyordunuz EVIL.EXE) ...
…çünkü o zamanlar tehditlerin çoğu virüstü, başka bir deyişle kendi kendine yayılıyor ve kendi kendine yetiyordu.
Bir kez sahip olduk…
FRASER. …sistemde tam olarak ne yaptığını A'dan Z'ye belgeleyebilirsiniz.
ÖRDEK. Yani o günlerde pek çok kötü amaçlı yazılım, kendilerini nasıl sakladıklarına bakarsanız; hafızaya nasıl girdiler; polimorfizm; tüm bu şeyler – birçoğu bugün bu şeyleri analiz etmek için çok daha karmaşıktı.
Ama nasıl çalıştığını bir kez anladığınızda, her neslin muhtemelen nasıl görüneceğini de biliyordunuz ve eksiksiz bir açıklama yazabiliyordunuz.
FRASER. Evet.
ÖRDEK. Şimdi, bunu yapamazsın.
"Eh, bu kötü amaçlı yazılım başka bir kötü amaçlı yazılımı indirir."
Hangi kötü amaçlı yazılım?
"Bilmiyorum."
FRASER. Örneğin, basit bir yükleyici düşünün: çalışır; periyodik olarak dışarı bağlanır.
Saldırganın bir tür kodlanmış BLOB'da ateş etme yeteneği vardır - örneğin, bunun bir DLL, dinamik bağlantı kitaplığı, bir modül… esasen bazı yürütülebilir kodlar olduğunu varsayalım.
Peki, “Bu tehdit ne işe yarıyor?”
Bu tam olarak ve tamamen saldırganın telden ne gönderdiğine bağlı.
ÖRDEK. Ve bu günden güne değişebilir.
Kaynak IP'ye göre değişebilir: “Almanya'da mısınız? İsveç'te misin? İngiltere'de misin?”
FRASER. Ah, evet bunu oldukça sık görüyoruz.
ÖRDEK. Ayrıca, "Hey, zaten bağlandınız, bu yüzden sizi besleyeceğiz" diyebilir. NOTEPAD ya da bir dahaki sefere masum bir dosya.”
FRASER. Evet.
Saldırganlar tipik olarak biz [yani SophosLabs] kendi yaratımlarını çalıştırmaya çalıştığımızda denemek ve tespit etmek için kullandıkları tekniklere sahip olacaklardır.
Bu yüzden bizi nihai yük olabilecek şekilde beslemiyorlar.
Yükü görmemizi istemiyorlar – sadece kurbanların bu yükü görmesini istiyorlar.
Bazen işler sessizce biter; bazen sadece koşarlar CALCya da NOTEPADveya aptalca bir şey; bazen karşınıza kaba bir mesaj çıkabilir.
Ancak tipik olarak nihai yükü geride tutmaya çalışacaklar ve bunu kurbanları için saklayacaklar.
ÖRDEK. Ve bu aynı zamanda…
… Daha önce "polimorfizm" kelimesini rahatlıkla kullandım; Bu, o zamanlar virüslerde çok yaygındı, virüs kendini yeni bir dosyaya her kopyaladığında temelde kodunu değiştirirdi, genellikle çok karmaşık bir şekilde, hatta kendi algoritmasını yeniden yazardı.
Ama karıştırmayı yapan motoru alabilirsin.
FRASER. Evet.
ÖRDEK. Şimdi, dolandırıcılar bunu kendilerine saklıyor.
FRASER. Bu başka bir yerdeki bir sunucuda.
ÖRDEK. Ve arka planda kolu çeviriyorlar.
FRASER. Evet.
ÖRDEK. Ayrıca loaderlerden bahsetmiştiniz – insanlar BuerLoader, BazaarLoader gibi şeyleri duymuş olabilirler, bunlar iyi bilinen “marka isimleri”…
..bazı durumlarda, dolandırıcı çeteleri vardır ve tüm yaptıkları budur.
Sırada gelen kötü amaçlı yazılımı yazmazlar.
Sadece “Ne yüklememizi istersiniz? Bize URL'yi verin, biz de sizin için enjekte edelim."
FRASER. 15 veya 20 yıl önceki orijinal bot operatörleri – nasıl para kazandılar?
Makine ağlarını tehlikeye attılar - esasen botnet yani, komutaları altındaki çok sayıda makine - ve sonra temel olarak bu "ağı" kiralayabilirler.
Dağıtılmış hizmet reddi için olabilir - örneğin, tüm bu virüslü makinelerin bir web sunucusuna ulaşmasını sağlayın ve o web sunucusunu kaldırın.
Daha önce de belirttiğiniz gibi, spam için oldukça yaygın olabilir.
Ve bunun doğal evrimi, bir bakıma bugünün yükleyicisidir.
Birisinin bir yükleyici bulaşmış bir sistemine sahipse ve bu yükleyici evi arıyorsa, aslında bir botunuz var demektir.
O makinede bir şeyler çalıştırma yeteneğine sahipsiniz…
…yani, tıpkı sizin de söylediğiniz gibi, bu siber suçluların nihai yükün ne olduğuyla ilgilenmesine gerek yok.
Fidye yazılımı mı?
Veri hırsızlığı mı?
Bir araçları var… ve fidye yazılımı neredeyse son ödeme.
"Yapmak istediğimiz her şeyi yaptık." (Ya da yapmayı umduğumuz her şeyde başarısız olduk.)
"Fidye yazılımını deneyelim..."
ÖRDEK. "Artık tüm parolaları kaydettik, artık alınacak parola yok." [GÜLER]
FRASER. Gidecek başka yer yok!
ÖRDEK. "Tüm verileri çaldık."
FRASER. Kesinlikle… son nakit çıkışı fidye yazılımıdır!
Bu noktada, kullanıcı farkındadır ve yöneticiler farkındadır, veri kaybı vardır.
Dolayısıyla, bugünün yükleyicisi dünün botunun neredeyse bir uzantısı, bir evrimi.
ÖRDEK. Fraser, zamanın bilincindeyim...
Açıkça tam zamanlı çalışma, tam zamanlı anlayış gerektiren bir tablo çizdiğinize göre, uzman bir araştırmacısınız, bunu yıllardır yapıyorsunuz.
Kuruluşta sizin gibi olmak için *başka bir* günlük işe sahip olmak için herkes BT veya sistem yönetimindeki günlük işini bırakamaz.
Dolandırıcılardan saldırmanın daha karmaşık, daha parçalı bir yolu ile başa çıkmak için bugün ne yapmanız (veya ne yapmamanız) gerektiğine dair üç basit ipucu vermeniz gerekse - bize üzerinde kullanacağımız çok daha fazla uçak veren bir ipucu. savunmak gerek…
… bu üç şey ne olurdu?
FRASER. Bu zor bir soru.
Bence ilki şu olmalı: kuruluşunuz hakkında farkındalık ve görünürlük sahibi olmak.
Kulağa basit geliyor, ancak bir saldırının başlangıç noktasının korumasız bir kutu olduğu saldırıları oldukça sık görüyoruz.
Yani, bir organizasyonunuz var….
…harika bir BT politikaları var; bu ağda konuşlandırılmış, uygun şekilde yapılandırılmış ürünleri var; tüm küçük sensörleri ve bu ürünlerden gelen tüm verileri izleyen insanlardan oluşan bir ekipleri olabilir.
Ancak korumasız bir etki alanı denetleyicileri var ve kötü adamlar bunu ele geçirmeyi başardılar.
Ve sonra, tüm MITRE ATT&CK çerçevesi içinde, adı verilen bir teknik var. yanal hareket...
…Saldırılar bir kutuya geldiğinde, organizasyon boyunca oradan yanal olarak hareket etmeye devam edecekler.
Ve bu ilk dayanak noktası, onlara bunu yapabilecekleri bir nokta verir.
Yani görünürlük ilk noktadır.
ÖRDEK. Neyi bilmediğini de bilmek zorundasın!
FRASER. Evet – ağınızdaki tüm cihazlara görünürlük sağlar.
İki numara: yapılandırma.
Bu biraz çetrefilli çünkü kimse politikalar ve yapılandırma hakkında konuşmayı sevmiyor – açıkçası oldukça sıkıcı.
ÖRDEK. Bu biraz önemli ama!
FRASER. Kesinlikle çok önemli.
ÖRDEK. Eski bir deyişin dediği gibi “Ölçemezseniz, yönetemezsiniz”.
FRASER. Sanırım bunun için tek tavsiyem şu olurdu: mümkünse önerilen varsayılanları kullanın.
Önerilen varsayılanlardan saptığınız anda, genellikle bazı şeyleri kapatırsınız (kötü!) veya belirli şeyleri hariç tutarsınız.
ÖRDEK. Evet.
FRASER. Örneğin, belirli bir klasörü hariç tutmak.
Şimdi, bu tamamen kabul edilebilir olabilir - içinde bazı özel uygulamalar olabilir, "Bu belirli klasör içindeki dosyaları taramak istemiyorum" diyeceğiniz bazı özel veritabanı uygulamaları olabilir.
Örneğin, Windows klasörünü hariç tutuyorsanız, o kadar iyi değil!
ÖRDEK. "Hariç tutmak C:*.* ve tüm alt dizinler." [GÜLER]
FRASER. Bu.
ÖRDEK. Birini eklersin, bir tane daha eklersin ve sonra gidip incelemezsin…
…temel olarak tüm kapıların ve tüm pencerelerin açık olduğu yere gelirsiniz.
FRASER. Biraz güvenlik duvarı gibi.
Her şeyi engellersiniz; birkaç delik açarsın: tamam.
Önümüzdeki üç yıl boyunca delik açmaya devam ediyorsun ve daha nerede olduğunu anlamadan...
…güvenlik duvarınız olarak İsviçre peyniri var.
[GÜLÜYOR]
İşe yaramayacak!
Yani, yapılandırma gerçekten önemlidir ve mümkünse varsayılanlara bağlı kalın.
ÖRDEK. Evet.
FRASER. Varsayılanlara bağlı kalın, çünkü… bu önerilen varsayılanlar – bir nedenle öneriliyorlar!
Örneğin, kendi ürünlerimizde varsayılanlardan saptığınızda, genellikle korumayı temelde devre dışı bıraktığınızı belirten kırmızı bir çubuk uyarısı alırsınız.
ÖRDEK. Pist dışına çıkacaksanız, gerçekten niyet ettiğinizden emin olun!
FRASER. Görüşünüzün iyi olduğundan emin olun.
Ve sanırım üçüncü nokta şu: gereken beceri setini kabul edin.
ÖRDEK. Yardım çağırmaktan korkmayın?
FRASER. Evet: Yardım çağırmaktan korkmayın!
Güvenlik karmaşıktır.
Bunun basit olduğunu düşünmeyi severiz: “Yapabileceğimiz üç şey nedir? Ne gibi basit şeyler yapabiliriz?”
Aslında gerçek şu ki, bugünün güvenliği çok karmaşık.
Ürünler bunu oldukça basit bir şekilde paketlemeye çalışabilir ve bir ağda meydana gelen farklı davranış türlerine ilişkin iyi düzeyde koruma ve iyi düzeyde görünürlük sağlayabilir.
Ancak, gelen ve kontrol panelinize çarpan olaylarla çalışmak için beceri setine veya bu konuda kaynağa sahip değilseniz…
… yapan birini bul!
Örneğin, yönetilen bir hizmet kullanmak, güvenliğiniz için büyük bir fark yaratabilir ve bu baş ağrısını ortadan kaldırabilir.
ÖRDEK. Bu yenilgiyi kabul etmek değil, değil mi?
"Ah, bunu kendim yapamam" demiyorsunuz.
FRASER. 24x7x365'ten bahsediyoruz.
Yani, birinin bunu şirket içinde yapması çok büyük bir girişimdir.
Ayrıca karmaşık verilerden bahsediyoruz ve aktif düşmanlardan ve bu tür saldırılardan bahsettik.
Kötü Adamların, bir şeyleri engellediğimizde bile yeniden denemeye devam edeceklerini biliyoruz: bir şeyleri değiştirecekler.
Bu verilere bakan iyi bir ekip, bu tür davranışları fark edecek ve yalnızca bir şeyin engellendiğini bilmekle kalmayacak, aynı zamanda "Tamam, sürekli olarak o kapıdan içeri girmeye çalışan biri var" diye düşüneceklerdir.
Bu onlar için oldukça yararlı bir gösterge ve harekete geçecekler ve saldırıyı çözecekler.
[DURAKLAT]
Üç güzel tavsiye var!
ÖRDEK. Harika, Fraser!
Çok teşekkür ederim ve deneyiminizi ve uzmanlığınızı bizimle paylaştığınız için teşekkür ederiz.
Dinleyen herkese, çok teşekkürler.
Ve şimdi sadece bana "Bir dahaki sefere kadar güvende kalın" demek kalıyor.
[MORS KODU]
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
- Kaynak: https://nakedsecurity.sophos.com/2022/12/22/s3-ep114-preventing-cyberthreats-stop-them-before-they-stop-you-audio-text/
