Bu Karşı Tedbirlerle EDR/XDR Açıklarını Önleyin - Dünyadan Güncel Teknoloji Haberleri

Bu Karşı Tedbirlerle EDR/XDR Açıklarını Önleyin - Dünyadan Güncel Teknoloji Haberleri
Saldırganlar, işlev çağrılarını kendi kodlarına yönlendirerek, kötü niyetli amaçlarını ilerletmek için bir uygulamanın davranışını manipüle edebilir

Sürekli tehdit istihbaratı ve analizi Kullanıcı alanı kancası, saldırganlar tarafından uygulamalar tarafından kullanıcı alanı içindeki sistem kitaplıklarına veya API’lere yapılan işlev çağrılarını engellemek için kullanılan yöntemlerden biridir Sürekli tehdit istihbaratı, derinlemesine savunma ve özenli olay müdahale planlamasıyla EDR/XDR araçları, tüm siber güvenlik operasyonu güçlendirilirken kendi içlerinde daha güçlü hale gelir

Kuruluşlar ayrıca gelişen fidye yazılımı tehditlerinin önünde kalabilmek için tehdit istihbaratı beslemelerinden yararlanmalı ve ortaya çıkan trendlere ilişkin düzenli analizler yapmalıdır Bu, ağ bölümlendirmesinin, güvenlik duvarı kurallarının, izinsiz giriş önleme sistemlerinin ve kötü amaçlı yazılımdan koruma çözümlerinin dağıtılmasını içerir Saldırganın kodu, bir uygulamanın onu yüklemesini sağlamak için meşru bir DLL dosyasını kötü amaçlı bir DLL dosyasıyla değiştirerek hedef sistemin tamamına bulaşır Yazarının temel amacı, bir dizi temel ilkeye dayalı kod geliştirmekti Diğer prensip, EDR’ler tarafından kullanılan algılama algoritmalarından kaçınmak için kodu sürekli değiştirerek kötü amaçlı yazılım çeşitleri üretebilen kod oluşturmak için üretken yapay zeka aracından yararlanma etrafında dönüyordu

Kod Ekleme

Saldırganlar, meşru bir uygulama veya sürece kötü amaçlı kod eklemek için genellikle kod enjeksiyonunu kullanır; bu da, kodun EDR veya EPP sistemleri tarafından tespit edilmesinden kaçmasına yardımcı olur “Hooking” esasen uygulamalar arasındaki API çağrılarını yakalama eylemidir Odak noktası, savunmasız Zemana sürücülerinin ne zaman diske yazıldığını veya süreçler tarafından yüklendiğini tespit etmekti

SohbetGPT

Yakın zamanda oluşturulan BlackMamba adlı polimorfik keylogger, komut ve kontrol (C2) altyapısı olmadan kodu değiştirebiliyor Tehdit aktörlerini belirlemek için ağı bir bakış açısı olarak kullanmak, şirketlerin EDR/XDR çözümlerine ek olarak ek bir tehdit algılama katmanı sağlamasına yardımcı olabilir Windows, geliştiricilere genellikle “kanca” olarak adlandırılan olayları, mesajları ve API çağrılarını ele geçirmek için araçlar sağlayarak uygulama kancasını kolaylaştırır

Fidye yazılımlarının ve Terminatör gibi hepsi bir arada EDR/XDR katillerinin nasıl çalıştığını anlayan kuruluşlar, bu sinsi tehditlere karşı savunma yapmak için kendilerini daha iyi donatabilirler

EDR/XDR Dahil Genel Siber Dayanıklılık Nasıl Güvenceye Alınır?

EDR/XDR teknolojilerinin fidye yazılımından yararlanılmasıyla etkili bir şekilde mücadele etmek için kuruluşların, sürekli tehdit istihbaratı ve analizi, derinlemesine savunma ve olay müdahale planlaması dahil olmak üzere sağlam güvenlik önlemleri alması gerekir

EDR/XDR teknolojileri, sağlam ve dinamik bir siber güvenlik yığınının bir öğesini oluşturur Dinamik bağlantı kitaplığı (DLL) yandan yükleme tekniği, saldırganların bir uygulamayı, normalde birden fazla program arasında aynı anda paylaşılan veriler için kullanılan orijinal dosyalar yerine sahte bir DLL dosyası yüklemesi için kandırmasına olanak tanır



siber-1

En yeni tehdit akışlarını ve istihbaratını uç nokta güvenliğiyle entegre etmek, daha güçlü bir EDR/XDR sistemine de olanak tanıyacak Sektöre özel bilgi paylaşım platformlarıyla işbirliği yapmak, en son saldırı teknikleri ve güvenlik ihlali göstergeleri hakkında değerli bilgiler sağlayabilir

Olay müdahale planlaması Ağ Tespiti ve Yanıtı (NDR) veya Ağ Analizi ve Görünürlüğü (NAV) araçları, kuruluşlara yalnızca uç noktalarda görülenlerden ziyade ağ üzerinden akan kötü amaçlı trafiğe ilişkin bilgi sağlar Bu, virüs bulaşmış sistemleri yalıtmak, yayılmayı kontrol altına almak ve kritik verileri güvenli yedeklerden geri yüklemek için önceden tanımlanmış adımları içerir Olay müdahale planının masaüstü alıştırmalar ve simülasyonlar yoluyla düzenli olarak test edilmesi, fidye yazılımı saldırısı karşısında hazırlıklı olunmasını sağlar Fidye yazılımı olaylarına özel olarak tasarlanmış kapsamlı bir olay müdahale planı geliştirmek çok önemlidir



2023’ün başlarında ” adlı bir kullanıcıcasus çocuk“, Rusça dilindeki Ramp forumu aracılığıyla Windows işletim sisteminde uç nokta savunmasından kaçmaya yönelik bir aracın tanıtımını yaptı Bu, yeni fidye yazılımı türlerinin ve taktiklerinin proaktif olarak belirlenmesine yardımcı olarak zamanında tespit ve yanıt verilmesini sağlar BYOVD saldırıları ve savunmasız Zemana kötü amaçlı yazılımdan koruma sürücülerinin kullanımı yeni değildir; bu nedenle, bunun gibi ortaya çıkan tehditleri düzenli olarak analiz etmek ve mevcut siber güvenlik yığınınızın ve süreçlerinizin en yeni tehditleri tespit etme ve engelleme görevine uygun olup olmayacağını değerlendirmek önemlidir

Kullanıcı Alanı API Bağlantısı

API kancalaması, sürecin yürütülmesini izleyen ve değişiklikleri tespit eden yaygın olarak kullanılan bir tekniktir yanıt (XDR) platformu Lumu’nun 2023 raporuna göre, EDR ve XDR çözümleri tehditlerin belirlenmesinde ve azaltılmasında önemli roller oynuyor ancak şu anda belki de kötü aktörler için en sık atlatılan siber güvenlik araçlarıdır Bu önlemlerin alınmasıyla uç nokta savunmaları, sistemlerini ve verilerini kötü niyetli saldırıların yıkıcı etkilerinden korumada önemli bir rol oynamaya devam edebilir

Çok katmanlı güvenlik kontrolleriyle derinlemesine savunma yaklaşımını benimsemek, olası ihlallerin etkisini azaltır Kötü amaçlı kod, başka bir canlı işlemin adres alanında rastgele kod çalıştırarak meşru bir işlemin altına gizlenebilir ve güvenlik ürünlerinin tanımlanmasını zorlaştırabilir

CPL ve DLL Yan Yükleme

Başlangıçta Microsoft Windows işletim sistemindeki Denetim Masası’ndaki araçlara hızlı erişim için oluşturulan CPL dosyaları, kötü niyetli kişilerin kötü amaçlı yazılımları gizlemek için başvurduğu bir yer haline geldi

Bu tür bir teknik, küçük işletmelerden hizmet sağlayıcılara ve işletmelere kadar tüm kuruluşları sürekli risk altına sokar “Terminatör” başlıklı bir videoda tanıtılan yazılımın, iddiaya göre her türlü uç nokta tespitini ve yanıtını (EDR) ve genişletilmiş tespit ve müdahaleyi sonlandırabileceği iddia ediliyor İlk prensip, her türlü kötü niyetli C2 altyapısının ortadan kaldırılması ve bunun yerine, ilgili verileri zararsız bir iletişim kanalı üzerinden saldırgana güvenli bir şekilde ileten gelişmiş otomasyonun kullanılmasıydı

Saldırganlar, API çağrılarını engellemek ve hedeflerine hizmet edecek şekilde onları manipüle etmek için bu tekniği kullanır Yukarıda bahsedilen Terminatör aracı, meşru Zemana kötü amaçlı yazılımdan koruma sürücülerinden yararlanmak için kendi savunmasız sürücünüzü getirin (BYOVD) adı verilen bir teknik kullanır Zemana yasal bir araç olduğundan bu sürücülerin oluşturulmasını veya yüklenmesini engellemek mümkün değildir

EDR/XDR’nin Ötesinde Güvenli Siber Dayanıklılık

Fidye yazılımı operatörleri ve kötü aktörler, kaçırma teknikleri kullanarak, güvenlik açıklarını hedef alarak ve Terminatör gibi araçlarla güvenlik teknolojilerini atlatmak için izleme yeteneklerini devre dışı bırakarak taktiklerini geliştirmeye devam ediyor

Saldırgan, DLL yandan yükleme saldırısı gerçekleştirmek için, Microsoft uygulamasının DLL arama sırasını kullanarak bir Windows uygulamasını zararlı bir DLL dosyası yüklemesi için kandırır Daha sonra, meşru ikili dosyanın bellek sayfalarını ZwUnmapViewOfSection() veya NtUnmapViewOfSection Windows API işlevleriyle yeni işlemin adres alanından çıkararak işlemin “oyulması” sağlanır ve yeni işlem boş bir adres alanıyla bırakılır

Kod enjeksiyonuna yönelik popüler tekniklerden biri, saldırganların Windows API’nin CreateProcess() işlevini kullanarak askıya alınmış durumda yeni bir işlem oluşturduğu süreç boşaltmadır

Derinlemesine savunma Fidye Yazılımı Flash Kartı Kuruluşlar, kritik uç noktaları etkili bir şekilde izlemek için EDR/XDR çözümlerini yapılandırmalıdır; ancak şirketler, saldırı yüzeylerinin muhtemelen bir EDR aracısının uyumlu olmadığı eski cihazlardan veya bir EDR/XDR aracısı yüklemenize izin vermeyen basit IOT/OT cihazlarından oluşturulduğunun farkında olmalıdır