Bu Karşı Tedbirlerle EDR/XDR Açıklarını Önleyin - Dünyadan Güncel Teknoloji Haberleri

Bu Karşı Tedbirlerle EDR/XDR Açıklarını Önleyin - Dünyadan Güncel Teknoloji Haberleri

Kod Ekleme

Saldırganlar, meşru bir uygulama veya sürece kötü amaçlı kod eklemek için genellikle kod enjeksiyonunu kullanır; bu da, kodun EDR veya EPP sistemleri tarafından tespit edilmesinden kaçmasına yardımcı olur

Kuruluşlar ayrıca gelişen fidye yazılımı tehditlerinin önünde kalabilmek için tehdit istihbaratı beslemelerinden yararlanmalı ve ortaya çıkan trendlere ilişkin düzenli analizler yapmalıdır “Terminatör” başlıklı bir videoda tanıtılan yazılımın, iddiaya göre her türlü uç nokta tespitini ve yanıtını (EDR) ve genişletilmiş tespit ve müdahaleyi sonlandırabileceği iddia ediliyor



siber-1

İlk prensip, her türlü kötü niyetli C2 altyapısının ortadan kaldırılması ve bunun yerine, ilgili verileri zararsız bir iletişim kanalı üzerinden saldırgana güvenli bir şekilde ileten gelişmiş otomasyonun kullanılmasıydı

Saldırgan, DLL yandan yükleme saldırısı gerçekleştirmek için, Microsoft uygulamasının DLL arama sırasını kullanarak bir Windows uygulamasını zararlı bir DLL dosyası yüklemesi için kandırır Bu önlemlerin alınmasıyla uç nokta savunmaları, sistemlerini ve verilerini kötü niyetli saldırıların yıkıcı etkilerinden korumada önemli bir rol oynamaya devam edebilir Lumu’nun 2023 raporuna göre, EDR ve XDR çözümleri tehditlerin belirlenmesinde ve azaltılmasında önemli roller oynuyor ancak şu anda belki de kötü aktörler için en sık atlatılan siber güvenlik araçlarıdır Kötü amaçlı kod, başka bir canlı işlemin adres alanında rastgele kod çalıştırarak meşru bir işlemin altına gizlenebilir ve güvenlik ürünlerinin tanımlanmasını zorlaştırabilir Daha sonra, meşru ikili dosyanın bellek sayfalarını ZwUnmapViewOfSection() veya NtUnmapViewOfSection Windows API işlevleriyle yeni işlemin adres alanından çıkararak işlemin “oyulması” sağlanır ve yeni işlem boş bir adres alanıyla bırakılır Odak noktası, savunmasız Zemana sürücülerinin ne zaman diske yazıldığını veya süreçler tarafından yüklendiğini tespit etmekti

Çok katmanlı güvenlik kontrolleriyle derinlemesine savunma yaklaşımını benimsemek, olası ihlallerin etkisini azaltır

EDR/XDR teknolojileri, sağlam ve dinamik bir siber güvenlik yığınının bir öğesini oluşturur Zemana yasal bir araç olduğundan bu sürücülerin oluşturulmasını veya yüklenmesini engellemek mümkün değildir Saldırganın kodu, bir uygulamanın onu yüklemesini sağlamak için meşru bir DLL dosyasını kötü amaçlı bir DLL dosyasıyla değiştirerek hedef sistemin tamamına bulaşır

Saldırganlar, API çağrılarını engellemek ve hedeflerine hizmet edecek şekilde onları manipüle etmek için bu tekniği kullanır Dinamik bağlantı kitaplığı (DLL) yandan yükleme tekniği, saldırganların bir uygulamayı, normalde birden fazla program arasında aynı anda paylaşılan veriler için kullanılan orijinal dosyalar yerine sahte bir DLL dosyası yüklemesi için kandırmasına olanak tanır Olay müdahale planının masaüstü alıştırmalar ve simülasyonlar yoluyla düzenli olarak test edilmesi, fidye yazılımı saldırısı karşısında hazırlıklı olunmasını sağlar Fidye Yazılımı Flash Kartı Bu, virüs bulaşmış sistemleri yalıtmak, yayılmayı kontrol altına almak ve kritik verileri güvenli yedeklerden geri yüklemek için önceden tanımlanmış adımları içerir

SohbetGPT

Yakın zamanda oluşturulan BlackMamba adlı polimorfik keylogger, komut ve kontrol (C2) altyapısı olmadan kodu değiştirebiliyor

CPL ve DLL Yan Yükleme

Başlangıçta Microsoft Windows işletim sistemindeki Denetim Masası’ndaki araçlara hızlı erişim için oluşturulan CPL dosyaları, kötü niyetli kişilerin kötü amaçlı yazılımları gizlemek için başvurduğu bir yer haline geldi Sürekli tehdit istihbaratı, derinlemesine savunma ve özenli olay müdahale planlamasıyla EDR/XDR araçları, tüm siber güvenlik operasyonu güçlendirilirken kendi içlerinde daha güçlü hale gelir BYOVD saldırıları ve savunmasız Zemana kötü amaçlı yazılımdan koruma sürücülerinin kullanımı yeni değildir; bu nedenle, bunun gibi ortaya çıkan tehditleri düzenli olarak analiz etmek ve mevcut siber güvenlik yığınınızın ve süreçlerinizin en yeni tehditleri tespit etme ve engelleme görevine uygun olup olmayacağını değerlendirmek önemlidir

Olay müdahale planlaması Fidye yazılımı olaylarına özel olarak tasarlanmış kapsamlı bir olay müdahale planı geliştirmek çok önemlidir

Kullanıcı Alanı API Bağlantısı

API kancalaması, sürecin yürütülmesini izleyen ve değişiklikleri tespit eden yaygın olarak kullanılan bir tekniktir

En yeni tehdit akışlarını ve istihbaratını uç nokta güvenliğiyle entegre etmek, daha güçlü bir EDR/XDR sistemine de olanak tanıyacak Diğer prensip, EDR’ler tarafından kullanılan algılama algoritmalarından kaçınmak için kodu sürekli değiştirerek kötü amaçlı yazılım çeşitleri üretebilen kod oluşturmak için üretken yapay zeka aracından yararlanma etrafında dönüyordu

Kod enjeksiyonuna yönelik popüler tekniklerden biri, saldırganların Windows API’nin CreateProcess() işlevini kullanarak askıya alınmış durumda yeni bir işlem oluşturduğu süreç boşaltmadır

Fidye yazılımlarının ve Terminatör gibi hepsi bir arada EDR/XDR katillerinin nasıl çalıştığını anlayan kuruluşlar, bu sinsi tehditlere karşı savunma yapmak için kendilerini daha iyi donatabilirler Bu, ağ bölümlendirmesinin, güvenlik duvarı kurallarının, izinsiz giriş önleme sistemlerinin ve kötü amaçlı yazılımdan koruma çözümlerinin dağıtılmasını içerir Kullanıcı alanı kancası, saldırganlar tarafından uygulamalar tarafından kullanıcı alanı içindeki sistem kitaplıklarına veya API’lere yapılan işlev çağrılarını engellemek için kullanılan yöntemlerden biridir Tehdit aktörlerini belirlemek için ağı bir bakış açısı olarak kullanmak, şirketlerin EDR/XDR çözümlerine ek olarak ek bir tehdit algılama katmanı sağlamasına yardımcı olabilir Sektöre özel bilgi paylaşım platformlarıyla işbirliği yapmak, en son saldırı teknikleri ve güvenlik ihlali göstergeleri hakkında değerli bilgiler sağlayabilir

Sürekli tehdit istihbaratı ve analizi Bu, yeni fidye yazılımı türlerinin ve taktiklerinin proaktif olarak belirlenmesine yardımcı olarak zamanında tespit ve yanıt verilmesini sağlar Saldırganlar, işlev çağrılarını kendi kodlarına yönlendirerek, kötü niyetli amaçlarını ilerletmek için bir uygulamanın davranışını manipüle edebilir Windows, geliştiricilere genellikle “kanca” olarak adlandırılan olayları, mesajları ve API çağrılarını ele geçirmek için araçlar sağlayarak uygulama kancasını kolaylaştırır Yukarıda bahsedilen Terminatör aracı, meşru Zemana kötü amaçlı yazılımdan koruma sürücülerinden yararlanmak için kendi savunmasız sürücünüzü getirin (BYOVD) adı verilen bir teknik kullanır

Derinlemesine savunma Yazarının temel amacı, bir dizi temel ilkeye dayalı kod geliştirmekti Ağ Tespiti ve Yanıtı (NDR) veya Ağ Analizi ve Görünürlüğü (NAV) araçları, kuruluşlara yalnızca uç noktalarda görülenlerden ziyade ağ üzerinden akan kötü amaçlı trafiğe ilişkin bilgi sağlar

EDR/XDR Dahil Genel Siber Dayanıklılık Nasıl Güvenceye Alınır?

EDR/XDR teknolojilerinin fidye yazılımından yararlanılmasıyla etkili bir şekilde mücadele etmek için kuruluşların, sürekli tehdit istihbaratı ve analizi, derinlemesine savunma ve olay müdahale planlaması dahil olmak üzere sağlam güvenlik önlemleri alması gerekir “Hooking” esasen uygulamalar arasındaki API çağrılarını yakalama eylemidir

Bu tür bir teknik, küçük işletmelerden hizmet sağlayıcılara ve işletmelere kadar tüm kuruluşları sürekli risk altına sokar Kuruluşlar, kritik uç noktaları etkili bir şekilde izlemek için EDR/XDR çözümlerini yapılandırmalıdır; ancak şirketler, saldırı yüzeylerinin muhtemelen bir EDR aracısının uyumlu olmadığı eski cihazlardan veya bir EDR/XDR aracısı yüklemenize izin vermeyen basit IOT/OT cihazlarından oluşturulduğunun farkında olmalıdır



2023’ün başlarında ” adlı bir kullanıcıcasus çocuk“, Rusça dilindeki Ramp forumu aracılığıyla Windows işletim sisteminde uç nokta savunmasından kaçmaya yönelik bir aracın tanıtımını yaptı yanıt (XDR) platformu

EDR/XDR’nin Ötesinde Güvenli Siber Dayanıklılık

Fidye yazılımı operatörleri ve kötü aktörler, kaçırma teknikleri kullanarak, güvenlik açıklarını hedef alarak ve Terminatör gibi araçlarla güvenlik teknolojilerini atlatmak için izleme yeteneklerini devre dışı bırakarak taktiklerini geliştirmeye devam ediyor