Siber güvenlik dünyasında “Living-off-the-land” (LotL) saldırıları, giderek artan bir endişe kaynağı haline geliyor. Bu saldırı türü, siber suçluların mevcut sistem araçlarını kullanarak hedefe saldırmalarını ve ağlarda fark edilmeden dolaşmalarını sağlıyor. Hali hazırda bulunan mevcut sistemler, normal işleyişin bir parçası olarak kabul edildiğinden tespit edilme olasılığı da büyük oranda azalıyor. Böylelikle hedef sistemde uzun süre kalabilme imkanı doğuyor. Sistem üzerinde kontrol sağlamak, verilerin çalınması ve itibar zedelenmesi gibi birçok amacı olabilen bu saldırı, hedefe sistem içerisindeki kaynakları kullanarak ulaştığından şüphe oluşturmuyor. WatchGuard Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez, siber güvenlik alanında başarı elde etmek için Living-off-the-land saldırılarının yaygın tekniklerini ve korunma yollarını açıklarken bu saldırılara karşı daima hazırlıklı olunması ve proaktif savunma stratejileri geliştirmesi gerektiğini vurguluyor.
LotL Saldırılarındaki Yaygın Teknikler Neler?
1. PowerShell: Sistem yöneticileri tarafından aktif bir şekilde kullanılan ve Windows sistemleri için güçlü bir komut satırı olan PowerShell, siber saldırganlar tarafından kötü amaçlı komut dosyalarını indirmek ve çalıştırmak, uzak bağlantılar kurmak veya sistem ayarlarını belirgin izler bırakmadan değiştirmek için kullanılır.
2. WMI: Windows işletim sistemleri için bir yönetim altyapısı olan WMI, sistem bilgilerini toplamak ve yönetim görevlerini yerine getirmek için kullanılır. Kullanıcı erişimi olmaksızın uzaktan komutları yürütmek, zayıf noktaları belirlemek için sistem verilerini toplamak veya sistemde kalıcılığı sağlamak için kullanılır.
3. Uzaktan Yönetim Araçları: PsExec gibi araçlar, kötü amaçlı komutları uzaktan yürüterek hedef sistem üzerinde değişiklik yapmak için yeniden kullanılabilir.
4. Office Makroları: Office belgelerine yerleştirilen kötü amaçlı makrolar, açıldığında kodu çalıştırarak kullanıcı güvenini suistimal eder ve sistemlere sızabilir.
Living-off-the-land Saldırılarına Karşı Korunmanın 4 Yolu
1. Uygulama Denetimi: PowerShell ve WMI gibi araçları belirli kullanıcılar ve işlemlerle sınırlayın.
2. Remote Shell ile Soruşturma ve Hızlı Müdahalenin Genişletilmesi: WatchGuard Advanced EPDR’nin yeni sürümü, dosyaları almak, işlemleri incelemek ve hatta Windows, Linux veya macOS olsun uç noktada doğrudan eylemde bulunmak için uzak bir kabuk açma yeteneğini içeriyor.
3. Risk Oluşturan Bağlantılar Konusunda Dikkat: Ağ segmentasyonu kullanılarak farklı ağ segmentleri veya uç noktaları arasındaki iletişimin sınırlandırılması, saldırganların LotL tekniklerini kullanarak yanal olarak hareket etmesini önleyebilir.
4. Eğitim ve Farkındalık: Çalışanlara makroların riskleri ve yönetim araçlarının güvenli kullanımı konusunda eğitim verilmesi, kötü amaçlı komut dosyalarının yanlışlıkla yürütülmesinin önlenmesine yardımcı olabilir.
5. İzleme ve Otomatik Davranış Analizi: Yalnızca imzalara veya uç nokta teknolojisine güvenmek yerine, olağandışı sistem etkinliklerini tespit etmek için bulutta davranış analitiğini kullanın. Stratejilerin başarılı bir şekilde uygulanması için, güvenilmeyen uygulamaları engelleyen ve yalnızca güvenilirliklerini doğruladıktan sonra yürütülmelerine izin veren Sıfır Güven Uygulama Hizmeti ve Tehdit Avı Hizmetinin yanı sıra, WatchGuard Advanced EPDR, güvenlik analistlerinin LotL tekniklerini kullanarak bir saldırganın varlığını hızla tespit edip yanıt vermesini sağlayan işlevler sunuyor.