- 10 Ağu 2019
- 985
- 17
Fileless Malware Nedir;
Siber güvenlik önlemlerinin evrimi ile birlikte, tehdit ortamı, özellikle geleneksel dosya tabanlı kötü amaçlı yazılımlardan karmaşık ve çok çeşitli dosyasız kötü amaçlı yazılımlara kadar kötü amaçlı yazılımlarda da gelişti. Dosyasız kötü amaçlı yazılım, faaliyetlerini gerçekleştirmek için geleneksel yürütülebilir dosyaları kullanmaz. Dolayısıyla imza tabanlı algılama sisteminden kaçınır. Dosyasız kötü amaçlı yazılım saldırıları, kalıcılığı ve her türlü anti-virüs çözümünden kaçma gücü nedeniyle herhangi bir kuruluş turkhackteam.org/aqua için kötü sonuçlar doğurabilir. Kötü amaçlı yazılımlar, amacını gerçekleştirmek için işletim sistemlerinin, güvenilir araçların gücünü kullanır. Bu tür kötü amaçlı yazılımları analiz etmek için, güvenlik uzmanları saldırganın izini sürmek için adli araçlar kullanır, saldırgan ise izlerini silmek için adli bilişim karşıtı araçlar kullanabilir. Bu yazıda dosyasız kötü amaçlı yazılımların ve bunların literatürde bulunan algılama tekniklerinin değerlendirmesini yapacağız.
Dosyasız kötü amaçlı yazılımlar yakın dönem içerisinde adını daha da duyduğumuz ve popülerleşmiş bir kavramdır. Bu saldırı yönteminde herhangi bir "dosya" kullanılmaz ki bu da saldırgana birçok avantajturkhackteam.org/aqua katar. Memory, bellek yani RAM tabanlıdır. Dosyasız kötü amaçlı yazılım, bir bilgisayara bulaşmak için yasal programları kullanan bir tür kötü amaçlı yazılımdır. Dosyalara dayanmaz ve herhangi bir kayıt/log bırakmaz, bu da algılamayı ve kaldırmayı zorlaştırır.
Saldırganların dosyasız kötü amaçlı yazılımların temeli olarak kullanmaya başladığı iki farklı araç vardır: Windows Yönetim Araçları(WMI) ve Powershell. Günümüzde WMI ve Powershell kullanımıyla ilgili özellikle yeni olan şey, saldırganların hedeflenen makineye tek bir dosya yüklemeden tüm işlemlerini geliştirebilmeleridir. Bu nedenle, geleneksel antivirüs araçlarının saldırıyı algılaması zordur ve diğer güvenlik çözümleri için tehdidi belirleme zorluğunu artırır. Kötü amaçlı işlemlerin tamamı WMI / Powershell çerçevesinde yer aldığında, kendimizi korumak için güvenlik hakkında düşünme şeklimizi değiştirmemiz gerekir.
Fileless Malware'ların Sağladığı Avantajlar,;
İçerisinde herhangi bir "zararlı" teşhisi koyulabilecek kod, dosya imzası vs. barındırmamaktadır.
Başka saldırı yöntemlerinde de kullanılabilir. Çok yönlüdür.
Sistemde izni bulunan uygulamalar aracılığıyla "whitelist" adını verdiğimiz liste bypass edilebilir.
Memory, bellek yani RAM tabanlıdır. Tespit ve analizini fazasıyla zorlaştırır.
Saldırı sırasında sistem işlev ve işlemlerinden faydalanır böylece anti yazılımların tespiti zorlaştırılır.
".docx / .pptx" Gibi Dökümanlar Aracılığıyla Dosyasız Saldırılar;
Genellike word dosyasısın içerisine makro yazılarak gerçekleştirilir günümüzde bu saldırılar. İşte tam olarak word gibi ofis programlarında "edit" özelliği için izin istemesinin asıl amacı da bu. Açılan ofis dosyasında düzenle butonuna basılmadığı sürece macro çalışmaz ancak bastığı andan itibaren makro çalışır ve kullanıcı saldırıdan etkilenir. Bu turkhackteam.org/aqua macrolar "powershell" gibi sistemlerin indirme, çalıştırma, komut çalıştırma gibi emellerini engellemek ile beraber script çalıştırmayı hedeflemektedirler. Ek olarak tabiki karmaşıklaştırma yani obfuscation yöntemleri kullanılır macrolarda. Bunun asıl amacı ise analiz eden / okumaya çalışan birinin anahtar kelimeleri tespit etmesini zorlaştırmak ve tamamen engellemektir.
Windows Yönetim Araçları(WMI)
WMI, bir yöneticinin yapmış olduğu işlemleri toplama, yazılım ve güncellemeleri yükleme veya işletim sisteminin kendisini sorgulama gibi çeşitli eylemleri gerçekleştirmesine olanak tanır. WMI, makinedeki her kaynağa erişebilir ve dosya yürütme, dosyaları silme/kopyalama, reg değerlerini değiştirme gibi farklı görevler için sınıflara ayrılmıştır. Bu araç doğrudan Windows'un her modern sürümünde yerleşiktir. Bu doğal özellikler, WMI'yi faydalı hale getirir çünkü yöneticilerin görevleri çok hızlı bir şekilde gerçekleştirmesine izin verir. Ancak kötü amaçlı işlemler için kullanıldığında çok hızlı bir şekilde gerçekleştirmesi büyük bir problemdir. Bir turkhackteam.org/aqua yöneticinin ölçümleri sorgulamak ve kodu yürütmek için WMI kullanması gibi, bir saldırganın da onu tüm makine ağında kötü amaçlı kod çalıştırmak için kullanabilir. Bu, sessizce, anında yapılabilir ve istenmeyen bir eylem olarak standart anti-virüsler tarafından tespit edilemez. Ayrıca, başlangıçta gizlice veya belirli olaylara dayalı olarak otomatik çalışan programlar aracılığıyla kalıcılığa izin verir. Ayrıca WMI kaldırılması zordur ve yalnızca devre dışı bırakılabilir. Ancak bunu yapmak yönetici ve Windows güncellemelerini devre dışı bırakmak gibi yazılım özelliklerini bozar veya sınırlar.
Powershell
Bash veya Python'a benzer şekilde, Powershell, Windows API'lere erişime izin veren ve görevlerin otomasyonu için kullanılan Windows işletim sistemine özgü bir dahili komut istemcisidir. WMI'nin abisi olarak düşünülebilir, yöneticilerin görevlere vb. erişmesine izin verir. Powershell .NET'e tam erişime sahiptir. Böylece tüm programlar doğrudan yazılabilir ve çalıştırılabilir. Bu, saldırganların şifreli kodu doğrudan Powershell'e bırakarak, otomatik olarak kodu çözdürdükten sonra bellekten çalıştırarak kendilerini kolayca gizlemelerine olanak tanır. Bu yeni bir taktik değil ancak Powershell tabanlı saldırıların çoğu gerçek zamanlı tespit ve popüler güvenlik programlarından kaçınma becerisini artırmaktadır. Powershell'i saldırganlar çin bir araç olarak daha da tehlikeli kılan şey, WinRM turkhackteam.org/aquaaracılığıyla uzaktan çalıştırılabilmesi ve saldırganların Windows Güvenlik Duvarı üzerinden bu güvenliği ihlal eden uç noktada anında bir arkakapı /backdoor açmasına izin vermesidir. Bu, saldırganın Powershell komut dosyalarını uzaktan çalıştırmasına veya yalnızca etkileşimli bir Powershell çalıştırmasına olanak tanıyarak, tek bir kötü amaçlı yazılım veya istismar çalıştırılmadan makine üzerinde tam yönetici kontrolü sağlar. Ek olarak WinRM kapatılırsa tek bir kod satırı kullanılarak WMI aracılığıyla uzaktan açılabilir.
Geleneksel Saldırı Yöntemlerininin Dışında Kullanılan Uygulamalar
WMI ve Powershell'i bu kadar etkin tehdit yapan şey ise tek bir makineden ödün vermekle tüm kuruluşu tehlikeye atmak arasındaki ince bir çizgi üzerinde işlem yapar.Geleneksel bir saldırı stratejisinde en önemli iki adım, kurulum / komuta ve kontrol sunucusuyla iletişimdir. Tipik olarak bu iki aşamanın WMI kapsamının dışında olduğu düşünülmektedir. Ancak, WMIın yetenekleriyle ilgili son araştırmalar, sistem yapılandırmalarını değiştirme / binary dosyaları depolama ve yükleme yeteneğinin, bir saldırganın kurban ağının içinde ve dışında kolayca iletişim kurmasına olanak tanıdığını göstermiştir. Powershell'i bir saldırganın kullanması için böylesine etkili bir araç olmasının nedeni, Windows'ta güvenilir bir script dili olmasıdır. Ancak, Bash, Python ve Powershell gibi script dilleri turkhackteam.org/aqua önemli ölçüde daha güçlüdür ve Windows API'lerine sınırsız erişimleri nedeniyle bir makinenin iç çekirdeğine erişim sağlar. Powershell, Windows'un doğal bir parçası olduğu için, makine tarafından tamamen güvenilir, antivirüs yazılımı ve diğer savunma mekanizmaları tarafından göz ardı edilir. Saldırganın tüm ihtiyacı WMI kullanılarak elde edilebilen makineye erişimdir.
Empire
Powersploit'e benzer şekilde Empire, saldırgana operasyonlarını aşamalandırması için bir platform sağlayan bir sömürü sonrası araçtır. Powershell tabanlı saldırılar için 90'dan fazla modül içerir.
Poweliks
Tek bir yazılım bile kurmadan, şifrelenmiş kötü amaçlı yazılımı doğrudan makinedeki belleğe yükleyerek, komut dosyalarını otomatik olarak çalıştırmak için Reg Anahtarlarını kullanan Powershell tabanlı bir araçtır.
WMIGhost
Bu araç, WMI'nin makinedeki olayları dinlemesine ve belirlenmiş bir olay gerçekleştiğinde ortaya çıkan belirli tetikleyicilere sahiptir. Bu araç, yalnızca tetiklenen WMI eylemlerini birleştirerek, saldırıyı uç noktada turkhackteam.org/aqua meydana gelen normal Windows işlemleri içinde gizleyerek bir ağ üzerinde kötü amaçlı bir işlemi barındırmak için kullanılabilir. Örneğin, kullanıcılar dosyaları belirli bir dizine kaydettiklerinde, WMI daha sonra bunları C&C sunucusuna otomatik olarak yükleyerek, görünüşte zararsız görevin bir parçası olarak verileri dışarı sızdırır.
Powersploit
Bu araçlar, DLL, shellcode ve Reflective PE enjeksiyonu gibi çeşitli kötü amaçlı görevlerin gerçekleştirilmesine izin verir. Bu araçların tümü doğrudan belleğe yüklendiği için antivirüs çözümleri bunları algılayamaz.
WMI ve Powershell, Windows yönetimi için kritik araçlardır. WMI ve Powershell'in her ikisi de son derece etkili olduğundan ve güvenilir imzalara sahip olduğundan, doğrudan sistem belleğinden yüklendiği ve işletim sistemine sınırsız erişime sahip olduklarından dolayı bu saldırılar karşısında geleneksel güvenlik yaklaşımları işe yaramaz hale gelir(antivirüs vs.). Normal WMI turkhackteam.org/aqua ve Powershell işlemlerini, geleneksel güvenlik yöntemlerini kullanan kötü niyetli işlemlerden ayırmak inanılmaz derecede zordur. Bu tür saldırılar dinamik analiz gerçekleştirilerek belirlenmeye ve izlenmeye başlanılabilir.
Popüler Savunma Yöntemlerinin Dosyasız Saldırılarda Başarısız Olmaları
1. Anti-virüs tespiti.
Anti-virüs, imzalar aracılığıyla kötü niyetli, bilinen tehditleri tespit etmek için tasarlanmıştır. Dosyasız kötü amaçlı yazılımın bir imzayı karşılaştıracak hiçbir dosyası bulunmamaktadır. Bu da anti-virüslerin tespitini zorlaştırır.
2. Sandbox Ortamları
Sandbox alanları genellikle imzaların kaçırdığı tehditleri tespit etmek için ikinci bir hat olarak geleneksel savunmalara dahil edilir. Bununla birlikte bu ortamlar herhangi bir dosya bulunmadığı için kullanılamamaktadır.
3. Endpoint Tabanlı Tespitler
Bu strateji, altyapıyı korumak için ana bilgisayar tabanlı savunmalara dayanır. Bu ana bilgisayar çözümlerinin birçoğu, disksiz kötü amaçlı yazılımları tespit etmek için yöntemler eklemeye başlamıştır.
Saldırı Yöntemleriyle Beraber Savunma Yöntemleri de Geliştiriliyor;
Yukarıda da bahsettiğim gibi bu ciddi derecede gelişmiş zararlı yazılımlar var ancak en kısa süre içerisinde bunları önleyecek yöntemler de geliştirilmek zorunda. Yoksa neler olacağını hepimiz biliyoruz. Şirketler veya kişisel cihaz kullanıcılarının kişisel verilerinin korunması ve cihazlarına yazılımsal/donanımsal zarar gelmemesi açısından bu tarz şüphelenilenturkhackteam.org/aqua yazılımlar ilk olarak incelenmeli. Nasıl incelenecek sorusunu duyar gibiyim. Malesef kaynak kodları gibi statik analiz yöntemleri kullanamıyoruz çünkü elimizde herhangi bir dosya bulunmamakta. Ancak yapılacak olan işlemlerin sanal makine, sandbox gibi ortamlar üzerinden gerçekleştirilip hareketler ve eylemler incelenilerek belirli bir sonuca varılabilir.
Eterenal Blue Fileless Malware Örneği;
Pentesting ve siber güvenlik ile uğraşmış birçok kişinin bildiği bir zafiyettir. Sistem servisi olan sunucu ve client arasındaki iletişmini sağlayan SMB üzerinde bulunan bir zafiyet aracılığıyla binlerce belki turkhackteam.org/aqua milyonlarca cihaz hacklendi. Bu tarz saldırılar ek olarak dll injection gibi daha da tehlikeli yöntemlere başvurabilmektedirler ki bu da riski arttırmakta.
Görev Yöneticisi Gibi Programlar Ne Durumda?
Tabiki eğer macrolar çalıştırılırsa görev yöneticisi gibi programları da engelliyor. Bunun birincil amaçlarından biri macronun görev yöneticisinden kapatılması. Memory üzerinden çalıştırıldığı için cihaz yeniden başlatılması saldırının sona ermesi anlamına geleceğini düşünebilirsiniz ancak yanılıyorsunuz. Bazı gelişmiş macrolar bunun da önüne geçebiliyor ve cihaz her yeniden başlatıldığında kendilerini veya gerçekleştirilecek işlemi aktif hale getirebiliyor
Dosyasız Saldırı Yöntemleri için Sistem Sıkılaştırmaları;
0x1: Powershell her ne kadar gündelik hayatta fazla ihtiyaç duyulmasa da bu tarz saldırılar ile karşı karşıya kalındığında hayat kurtarıcı diyebiliriz. Bu yüzden macro gibi zararlı kodlarınturkhackteam.org/aqua poweshell kullanımını engelleme eylemi engellenmeli ve powershell olabildiğince güvenili ve sağlam tutulmalıdır. IT sistem ve sunucu yöneticileri için kaçınılmaz bir gerekliliktir diyebiliriz.
0x2: Powershell komutları aracılığıyla kullanılan sistemi sıkılaştırmak elbette mümkün. Program yetkilendirmeleri, çalışma izinleri gibi birçok farklı özellik üzerinde değişiklik gerçekleştirilerek sistem daha güvenli hale getirilebilir.
0x3: Daha önce de bahsettiğim gibi ne kadar sanal cihazlarda da kullanılsa ana makineye de kurulması gereken programlar bulunmakta. Bunların en başında cihaz hareketlerini monitörleme gibi farklı faydalar sağlayan programlar kurularak sistem harketleri izlenmeli.
0x4: Dosyasız saldırı yönteminde eğer herhangi bir saldırganın kalıcı olarak kalmasını hedefleyen uygulama gerçekleştirilmediyse sistemin yeniden başlatılması ile bu zararlı işlem engellenebilir. Bunun kök nedeni ise bahsetmiş olduğum gibi RAM yani bellekte çalışmasıdır.
0x5: Her ne kadar kişisel verilerimizi satsalar da bazı piyasada bulunan çoklu koruma katmanı bulunan anti analiz programları bu tarz dosyasız saldırıların önüne geçebilir ancak emin olmamakla beraber ücretlendirmesi olduğunu düşünüyorum.
0x6: Eternal Blue saldırılarından da feyz alınabileceği gibi kullanılmayan servis ve programların kapatılması da büyük rol taşımaktadır. Temel bilişim/ teknoloji bilgisi gerektirebilir ancak kısa bir araştırma sonucu kolaylıkla bilgi sahibi olunabilir.
0x7: Websiteler, spam mailler, zafiyetli 3. parti eklentiler gibi dosyasız saldırı gerçekleştirebilecek platformlar için de önlem alınmalıdır. Bunun için "privacy badge" ve benzeri eklentiler kullanılabilir.
0x8: Son olarak tabiki güvenmediğiniz döküman ve dosyaları açmamanız ciddi derecede önem taşımakta .)
Siber güvenlik önlemlerinin evrimi ile birlikte, tehdit ortamı, özellikle geleneksel dosya tabanlı kötü amaçlı yazılımlardan karmaşık ve çok çeşitli dosyasız kötü amaçlı yazılımlara kadar kötü amaçlı yazılımlarda da gelişti. Dosyasız kötü amaçlı yazılım, faaliyetlerini gerçekleştirmek için geleneksel yürütülebilir dosyaları kullanmaz. Dolayısıyla imza tabanlı algılama sisteminden kaçınır. Dosyasız kötü amaçlı yazılım saldırıları, kalıcılığı ve her türlü anti-virüs çözümünden kaçma gücü nedeniyle herhangi bir kuruluş turkhackteam.org/aqua için kötü sonuçlar doğurabilir. Kötü amaçlı yazılımlar, amacını gerçekleştirmek için işletim sistemlerinin, güvenilir araçların gücünü kullanır. Bu tür kötü amaçlı yazılımları analiz etmek için, güvenlik uzmanları saldırganın izini sürmek için adli araçlar kullanır, saldırgan ise izlerini silmek için adli bilişim karşıtı araçlar kullanabilir. Bu yazıda dosyasız kötü amaçlı yazılımların ve bunların literatürde bulunan algılama tekniklerinin değerlendirmesini yapacağız.
Dosyasız kötü amaçlı yazılımlar yakın dönem içerisinde adını daha da duyduğumuz ve popülerleşmiş bir kavramdır. Bu saldırı yönteminde herhangi bir "dosya" kullanılmaz ki bu da saldırgana birçok avantajturkhackteam.org/aqua katar. Memory, bellek yani RAM tabanlıdır. Dosyasız kötü amaçlı yazılım, bir bilgisayara bulaşmak için yasal programları kullanan bir tür kötü amaçlı yazılımdır. Dosyalara dayanmaz ve herhangi bir kayıt/log bırakmaz, bu da algılamayı ve kaldırmayı zorlaştırır.
Saldırganların dosyasız kötü amaçlı yazılımların temeli olarak kullanmaya başladığı iki farklı araç vardır: Windows Yönetim Araçları(WMI) ve Powershell. Günümüzde WMI ve Powershell kullanımıyla ilgili özellikle yeni olan şey, saldırganların hedeflenen makineye tek bir dosya yüklemeden tüm işlemlerini geliştirebilmeleridir. Bu nedenle, geleneksel antivirüs araçlarının saldırıyı algılaması zordur ve diğer güvenlik çözümleri için tehdidi belirleme zorluğunu artırır. Kötü amaçlı işlemlerin tamamı WMI / Powershell çerçevesinde yer aldığında, kendimizi korumak için güvenlik hakkında düşünme şeklimizi değiştirmemiz gerekir.
Fileless Malware'ların Sağladığı Avantajlar,;
İçerisinde herhangi bir "zararlı" teşhisi koyulabilecek kod, dosya imzası vs. barındırmamaktadır.
Başka saldırı yöntemlerinde de kullanılabilir. Çok yönlüdür.
Sistemde izni bulunan uygulamalar aracılığıyla "whitelist" adını verdiğimiz liste bypass edilebilir.
Memory, bellek yani RAM tabanlıdır. Tespit ve analizini fazasıyla zorlaştırır.
Saldırı sırasında sistem işlev ve işlemlerinden faydalanır böylece anti yazılımların tespiti zorlaştırılır.
".docx / .pptx" Gibi Dökümanlar Aracılığıyla Dosyasız Saldırılar;
Genellike word dosyasısın içerisine makro yazılarak gerçekleştirilir günümüzde bu saldırılar. İşte tam olarak word gibi ofis programlarında "edit" özelliği için izin istemesinin asıl amacı da bu. Açılan ofis dosyasında düzenle butonuna basılmadığı sürece macro çalışmaz ancak bastığı andan itibaren makro çalışır ve kullanıcı saldırıdan etkilenir. Bu turkhackteam.org/aqua macrolar "powershell" gibi sistemlerin indirme, çalıştırma, komut çalıştırma gibi emellerini engellemek ile beraber script çalıştırmayı hedeflemektedirler. Ek olarak tabiki karmaşıklaştırma yani obfuscation yöntemleri kullanılır macrolarda. Bunun asıl amacı ise analiz eden / okumaya çalışan birinin anahtar kelimeleri tespit etmesini zorlaştırmak ve tamamen engellemektir.
Windows Yönetim Araçları(WMI)
WMI, bir yöneticinin yapmış olduğu işlemleri toplama, yazılım ve güncellemeleri yükleme veya işletim sisteminin kendisini sorgulama gibi çeşitli eylemleri gerçekleştirmesine olanak tanır. WMI, makinedeki her kaynağa erişebilir ve dosya yürütme, dosyaları silme/kopyalama, reg değerlerini değiştirme gibi farklı görevler için sınıflara ayrılmıştır. Bu araç doğrudan Windows'un her modern sürümünde yerleşiktir. Bu doğal özellikler, WMI'yi faydalı hale getirir çünkü yöneticilerin görevleri çok hızlı bir şekilde gerçekleştirmesine izin verir. Ancak kötü amaçlı işlemler için kullanıldığında çok hızlı bir şekilde gerçekleştirmesi büyük bir problemdir. Bir turkhackteam.org/aqua yöneticinin ölçümleri sorgulamak ve kodu yürütmek için WMI kullanması gibi, bir saldırganın da onu tüm makine ağında kötü amaçlı kod çalıştırmak için kullanabilir. Bu, sessizce, anında yapılabilir ve istenmeyen bir eylem olarak standart anti-virüsler tarafından tespit edilemez. Ayrıca, başlangıçta gizlice veya belirli olaylara dayalı olarak otomatik çalışan programlar aracılığıyla kalıcılığa izin verir. Ayrıca WMI kaldırılması zordur ve yalnızca devre dışı bırakılabilir. Ancak bunu yapmak yönetici ve Windows güncellemelerini devre dışı bırakmak gibi yazılım özelliklerini bozar veya sınırlar.
Powershell
Bash veya Python'a benzer şekilde, Powershell, Windows API'lere erişime izin veren ve görevlerin otomasyonu için kullanılan Windows işletim sistemine özgü bir dahili komut istemcisidir. WMI'nin abisi olarak düşünülebilir, yöneticilerin görevlere vb. erişmesine izin verir. Powershell .NET'e tam erişime sahiptir. Böylece tüm programlar doğrudan yazılabilir ve çalıştırılabilir. Bu, saldırganların şifreli kodu doğrudan Powershell'e bırakarak, otomatik olarak kodu çözdürdükten sonra bellekten çalıştırarak kendilerini kolayca gizlemelerine olanak tanır. Bu yeni bir taktik değil ancak Powershell tabanlı saldırıların çoğu gerçek zamanlı tespit ve popüler güvenlik programlarından kaçınma becerisini artırmaktadır. Powershell'i saldırganlar çin bir araç olarak daha da tehlikeli kılan şey, WinRM turkhackteam.org/aquaaracılığıyla uzaktan çalıştırılabilmesi ve saldırganların Windows Güvenlik Duvarı üzerinden bu güvenliği ihlal eden uç noktada anında bir arkakapı /backdoor açmasına izin vermesidir. Bu, saldırganın Powershell komut dosyalarını uzaktan çalıştırmasına veya yalnızca etkileşimli bir Powershell çalıştırmasına olanak tanıyarak, tek bir kötü amaçlı yazılım veya istismar çalıştırılmadan makine üzerinde tam yönetici kontrolü sağlar. Ek olarak WinRM kapatılırsa tek bir kod satırı kullanılarak WMI aracılığıyla uzaktan açılabilir.
Geleneksel Saldırı Yöntemlerininin Dışında Kullanılan Uygulamalar
WMI ve Powershell'i bu kadar etkin tehdit yapan şey ise tek bir makineden ödün vermekle tüm kuruluşu tehlikeye atmak arasındaki ince bir çizgi üzerinde işlem yapar.Geleneksel bir saldırı stratejisinde en önemli iki adım, kurulum / komuta ve kontrol sunucusuyla iletişimdir. Tipik olarak bu iki aşamanın WMI kapsamının dışında olduğu düşünülmektedir. Ancak, WMIın yetenekleriyle ilgili son araştırmalar, sistem yapılandırmalarını değiştirme / binary dosyaları depolama ve yükleme yeteneğinin, bir saldırganın kurban ağının içinde ve dışında kolayca iletişim kurmasına olanak tanıdığını göstermiştir. Powershell'i bir saldırganın kullanması için böylesine etkili bir araç olmasının nedeni, Windows'ta güvenilir bir script dili olmasıdır. Ancak, Bash, Python ve Powershell gibi script dilleri turkhackteam.org/aqua önemli ölçüde daha güçlüdür ve Windows API'lerine sınırsız erişimleri nedeniyle bir makinenin iç çekirdeğine erişim sağlar. Powershell, Windows'un doğal bir parçası olduğu için, makine tarafından tamamen güvenilir, antivirüs yazılımı ve diğer savunma mekanizmaları tarafından göz ardı edilir. Saldırganın tüm ihtiyacı WMI kullanılarak elde edilebilen makineye erişimdir.
Empire
Powersploit'e benzer şekilde Empire, saldırgana operasyonlarını aşamalandırması için bir platform sağlayan bir sömürü sonrası araçtır. Powershell tabanlı saldırılar için 90'dan fazla modül içerir.
Poweliks
Tek bir yazılım bile kurmadan, şifrelenmiş kötü amaçlı yazılımı doğrudan makinedeki belleğe yükleyerek, komut dosyalarını otomatik olarak çalıştırmak için Reg Anahtarlarını kullanan Powershell tabanlı bir araçtır.
WMIGhost
Bu araç, WMI'nin makinedeki olayları dinlemesine ve belirlenmiş bir olay gerçekleştiğinde ortaya çıkan belirli tetikleyicilere sahiptir. Bu araç, yalnızca tetiklenen WMI eylemlerini birleştirerek, saldırıyı uç noktada turkhackteam.org/aqua meydana gelen normal Windows işlemleri içinde gizleyerek bir ağ üzerinde kötü amaçlı bir işlemi barındırmak için kullanılabilir. Örneğin, kullanıcılar dosyaları belirli bir dizine kaydettiklerinde, WMI daha sonra bunları C&C sunucusuna otomatik olarak yükleyerek, görünüşte zararsız görevin bir parçası olarak verileri dışarı sızdırır.
Powersploit
Bu araçlar, DLL, shellcode ve Reflective PE enjeksiyonu gibi çeşitli kötü amaçlı görevlerin gerçekleştirilmesine izin verir. Bu araçların tümü doğrudan belleğe yüklendiği için antivirüs çözümleri bunları algılayamaz.
WMI ve Powershell, Windows yönetimi için kritik araçlardır. WMI ve Powershell'in her ikisi de son derece etkili olduğundan ve güvenilir imzalara sahip olduğundan, doğrudan sistem belleğinden yüklendiği ve işletim sistemine sınırsız erişime sahip olduklarından dolayı bu saldırılar karşısında geleneksel güvenlik yaklaşımları işe yaramaz hale gelir(antivirüs vs.). Normal WMI turkhackteam.org/aqua ve Powershell işlemlerini, geleneksel güvenlik yöntemlerini kullanan kötü niyetli işlemlerden ayırmak inanılmaz derecede zordur. Bu tür saldırılar dinamik analiz gerçekleştirilerek belirlenmeye ve izlenmeye başlanılabilir.
Popüler Savunma Yöntemlerinin Dosyasız Saldırılarda Başarısız Olmaları
1. Anti-virüs tespiti.
Anti-virüs, imzalar aracılığıyla kötü niyetli, bilinen tehditleri tespit etmek için tasarlanmıştır. Dosyasız kötü amaçlı yazılımın bir imzayı karşılaştıracak hiçbir dosyası bulunmamaktadır. Bu da anti-virüslerin tespitini zorlaştırır.
2. Sandbox Ortamları
Sandbox alanları genellikle imzaların kaçırdığı tehditleri tespit etmek için ikinci bir hat olarak geleneksel savunmalara dahil edilir. Bununla birlikte bu ortamlar herhangi bir dosya bulunmadığı için kullanılamamaktadır.
3. Endpoint Tabanlı Tespitler
Bu strateji, altyapıyı korumak için ana bilgisayar tabanlı savunmalara dayanır. Bu ana bilgisayar çözümlerinin birçoğu, disksiz kötü amaçlı yazılımları tespit etmek için yöntemler eklemeye başlamıştır.
Saldırı Yöntemleriyle Beraber Savunma Yöntemleri de Geliştiriliyor;
Yukarıda da bahsettiğim gibi bu ciddi derecede gelişmiş zararlı yazılımlar var ancak en kısa süre içerisinde bunları önleyecek yöntemler de geliştirilmek zorunda. Yoksa neler olacağını hepimiz biliyoruz. Şirketler veya kişisel cihaz kullanıcılarının kişisel verilerinin korunması ve cihazlarına yazılımsal/donanımsal zarar gelmemesi açısından bu tarz şüphelenilenturkhackteam.org/aqua yazılımlar ilk olarak incelenmeli. Nasıl incelenecek sorusunu duyar gibiyim. Malesef kaynak kodları gibi statik analiz yöntemleri kullanamıyoruz çünkü elimizde herhangi bir dosya bulunmamakta. Ancak yapılacak olan işlemlerin sanal makine, sandbox gibi ortamlar üzerinden gerçekleştirilip hareketler ve eylemler incelenilerek belirli bir sonuca varılabilir.
Eterenal Blue Fileless Malware Örneği;
Pentesting ve siber güvenlik ile uğraşmış birçok kişinin bildiği bir zafiyettir. Sistem servisi olan sunucu ve client arasındaki iletişmini sağlayan SMB üzerinde bulunan bir zafiyet aracılığıyla binlerce belki turkhackteam.org/aqua milyonlarca cihaz hacklendi. Bu tarz saldırılar ek olarak dll injection gibi daha da tehlikeli yöntemlere başvurabilmektedirler ki bu da riski arttırmakta.
Görev Yöneticisi Gibi Programlar Ne Durumda?
Tabiki eğer macrolar çalıştırılırsa görev yöneticisi gibi programları da engelliyor. Bunun birincil amaçlarından biri macronun görev yöneticisinden kapatılması. Memory üzerinden çalıştırıldığı için cihaz yeniden başlatılması saldırının sona ermesi anlamına geleceğini düşünebilirsiniz ancak yanılıyorsunuz. Bazı gelişmiş macrolar bunun da önüne geçebiliyor ve cihaz her yeniden başlatıldığında kendilerini veya gerçekleştirilecek işlemi aktif hale getirebiliyor
Dosyasız Saldırı Yöntemleri için Sistem Sıkılaştırmaları;
0x1: Powershell her ne kadar gündelik hayatta fazla ihtiyaç duyulmasa da bu tarz saldırılar ile karşı karşıya kalındığında hayat kurtarıcı diyebiliriz. Bu yüzden macro gibi zararlı kodlarınturkhackteam.org/aqua poweshell kullanımını engelleme eylemi engellenmeli ve powershell olabildiğince güvenili ve sağlam tutulmalıdır. IT sistem ve sunucu yöneticileri için kaçınılmaz bir gerekliliktir diyebiliriz.
0x2: Powershell komutları aracılığıyla kullanılan sistemi sıkılaştırmak elbette mümkün. Program yetkilendirmeleri, çalışma izinleri gibi birçok farklı özellik üzerinde değişiklik gerçekleştirilerek sistem daha güvenli hale getirilebilir.
0x3: Daha önce de bahsettiğim gibi ne kadar sanal cihazlarda da kullanılsa ana makineye de kurulması gereken programlar bulunmakta. Bunların en başında cihaz hareketlerini monitörleme gibi farklı faydalar sağlayan programlar kurularak sistem harketleri izlenmeli.
0x4: Dosyasız saldırı yönteminde eğer herhangi bir saldırganın kalıcı olarak kalmasını hedefleyen uygulama gerçekleştirilmediyse sistemin yeniden başlatılması ile bu zararlı işlem engellenebilir. Bunun kök nedeni ise bahsetmiş olduğum gibi RAM yani bellekte çalışmasıdır.
0x5: Her ne kadar kişisel verilerimizi satsalar da bazı piyasada bulunan çoklu koruma katmanı bulunan anti analiz programları bu tarz dosyasız saldırıların önüne geçebilir ancak emin olmamakla beraber ücretlendirmesi olduğunu düşünüyorum.
0x6: Eternal Blue saldırılarından da feyz alınabileceği gibi kullanılmayan servis ve programların kapatılması da büyük rol taşımaktadır. Temel bilişim/ teknoloji bilgisi gerektirebilir ancak kısa bir araştırma sonucu kolaylıkla bilgi sahibi olunabilir.
0x7: Websiteler, spam mailler, zafiyetli 3. parti eklentiler gibi dosyasız saldırı gerçekleştirebilecek platformlar için de önlem alınmalıdır. Bunun için "privacy badge" ve benzeri eklentiler kullanılabilir.
0x8: Son olarak tabiki güvenmediğiniz döküman ve dosyaları açmamanız ciddi derecede önem taşımakta .)
Son düzenleme:
