Kaspersky Global Acil Durum Müdahale
ekibinin 2019’da incelediği siber saldırıların yaklaşık üçte birinde yasal
uzaktan yönetim araçlarının kullanıldığı görüldü. Saldırganlar bu sayede uzun
süre tespit edilmeden faaliyetlerini sürdürebiliyor. Örneğin, kesintisiz siber
casusluk saldırıları ve gizli veri hırsızlıkları ortalama 122 gün sürüyor. Elde
edilen bu bulgular Kaspersky’nin yeni Vaka Müdahalesi Analitiği Raporu’nda yayınlandı.
Takip ve yönetim yazılımları BT ve ağ yöneticilerinin günlük işlerini
yapmasına, sorunları çözmesine ve çalışanlara teknik destek sunmasına yardımcı
oluyor. Ancak siber suçlular da bu yasal araçlardan yararlanabiliyor ve bunları
şirketlerin altyapılarına saldırmak için kullanabiliyor. Bu yazılımlarla uç
noktalarda program çalıştırabiliyor, hassas bilgilere erişebiliyor, zararlı yazılımları
tespit etmekte kullanılan güvenlik kontrollerini aşabiliyorlar.
Vaka müdahalelerinden toplanan anonim veriler incelendiğinde saldırganların
18 farklı yasal aracı kötü amaçlar için kullandığı görüldü. Bunlar arasında en
çok kullanılanı ise PowerShell (vakaların %25’i) oldu. Bu güçlü yönetim aracı
bilgi sızdırmaktan zararlı yazılım çalıştırmaya kadar birçok amaç için
kullanılabiliyor. PsExec adlı aracın ise saldırıların %22’sinde
kullanıldığı tespit edildi. Bu arayüz uygulaması uzak uç noktalarda işlemler
çalıştırmakta kullanılıyor. Ağ ortamları hakkında bilgi toplamak için
tasarlanan SoftPerfect Network Scanner ise %14 ile
saldırganların en çok kullandığı üçüncü araç oldu.
Güvenlik çözümlerinin yasal araçlara düzenlenen saldırıları tespit etmesi
daha zor oluyor. Yapılan işlemlerin planlı bir siber suç faaliyeti mi yoksa
standart bir sistem yönetim görevi mi olduğu kolay anlaşılamıyor. Örneğin, bir
aydan uzun süren saldırıların ortalama uzunluğunun 122 olduğu tespit edildi.
Tespit edilmeyen siber suçlular kurbanların hassas verilerini toplayabildi.
Ancak, kaspersky uzmanları yasal yazılımlarla yapılan kötü niyetli
faaliyetlerin bazen çok çabuk ortaya çıktığını da belirtiyor. Genellikle fidye
yazılımı saldırılarında kullanıldığı için hasar açıkça görülebiliyor. Kısa
saldırılarda ise ortalama süre bir gün oldu.
Kaspersky Global Acil Durum Müdahale Ekibi Direktörü Konstantin Sapronov,“Saldırganlar tespit edilmemek ve ağda uzun süre görünmeden olabildiğince
kalabilmek için genellikle normal kullanıcı işleri, yönetici görevleri ve
sistem taraması için kullanılan yazılımlardan yararlanıyor. Bu araçlar
sayesinde kurumsal ağda bilgi toplayıp dolaşabiliyor, yazılım ve donanım
ayarlarını değiştirebiliyor ve zararlı faaliyetlerde bulunabiliyorlar. Örneğin,
yasal yazılımlarla verileri şifrelemeleri mümkün. Yasal yazılımlar
saldırganların güvenlik analistlerinden saklanmasına da yardımcı oluyor.
Saldırılar genellikle hasar verildikten sonra fark ediliyor. Bu araçların
kullanımından vazgeçmek de birçok nedenden dolayı mümkün değil. Ancak düzgün
tutulan kayıtlar ve takip sistemleri ağdaki şüpheli faaliyetleri tespit etmeye
ve karmaşık saldırıları erkenden fark etmeye yardımcı oluyor.” dedi.
Bu tür saldırıları zamanında tespit etmek için kurumların MDR hizmeti
içeren bir uç nokta tespit ve müdahale çözümü de kullanması gerekiyor.
Aralarında Kaspersky EDR ve Kaspersky Managed Protection’ın da dahil olduğu
çeşitli çözümleri değerlendiren MITRE ATT&CK® Round 2 Evaluation müşterilerin
kendi ihtiyaçlarına yönelik EDR ürünleri seçmesine yardımcı oluyor. Yapılan
değerlendirme, tamamen otomatik çok katmanlı bir güvenlik ürünü ile manuel
tehdit avı hizmetini bir araya getiren kapsamlı bir çözümün önemini ortaya
koyuyor.
Uzaktan yönetim yazılımlarının bir altyapıya sızmada kullanılmasını önlemek
için Kaspersky şu önlemlerin alınmasını tavsiye ediyor:
- Harici IP adreslerinin uzaktan yönetim araçlarını kullanmasını kısıtlayın. Uzaktan kontrol arayüzlerine yalnızca belirli sayıda uç noktadan erişilmesini sağlayın.
- Tüm BT sistemleri için sıkı parola politikası belirleyin ve çok aşamalı doğrulama kullanın.
- Çalışanlara kısıtlı yetki tanıyın, yüksek yetkili hesapları yalnızca işini tamamlamak için ihtiyaç duyanlara verin.
