Bu Karşı Tedbirlerle EDR/XDR Açıklarını Önleyin - Dünyadan Güncel Teknoloji Haberleri

Bu Karşı Tedbirlerle EDR/XDR Açıklarını Önleyin - Dünyadan Güncel Teknoloji Haberleri
Sürekli tehdit istihbaratı, derinlemesine savunma ve özenli olay müdahale planlamasıyla EDR/XDR araçları, tüm siber güvenlik operasyonu güçlendirilirken kendi içlerinde daha güçlü hale gelir Kuruluşlar, kritik uç noktaları etkili bir şekilde izlemek için EDR/XDR çözümlerini yapılandırmalıdır; ancak şirketler, saldırı yüzeylerinin muhtemelen bir EDR aracısının uyumlu olmadığı eski cihazlardan veya bir EDR/XDR aracısı yüklemenize izin vermeyen basit IOT/OT cihazlarından oluşturulduğunun farkında olmalıdır

Kuruluşlar ayrıca gelişen fidye yazılımı tehditlerinin önünde kalabilmek için tehdit istihbaratı beslemelerinden yararlanmalı ve ortaya çıkan trendlere ilişkin düzenli analizler yapmalıdır Odak noktası, savunmasız Zemana sürücülerinin ne zaman diske yazıldığını veya süreçler tarafından yüklendiğini tespit etmekti “Terminatör” başlıklı bir videoda tanıtılan yazılımın, iddiaya göre her türlü uç nokta tespitini ve yanıtını (EDR) ve genişletilmiş tespit ve müdahaleyi sonlandırabileceği iddia ediliyor

Bu tür bir teknik, küçük işletmelerden hizmet sağlayıcılara ve işletmelere kadar tüm kuruluşları sürekli risk altına sokar Daha sonra, meşru ikili dosyanın bellek sayfalarını ZwUnmapViewOfSection() veya NtUnmapViewOfSection Windows API işlevleriyle yeni işlemin adres alanından çıkararak işlemin “oyulması” sağlanır ve yeni işlem boş bir adres alanıyla bırakılır “Hooking” esasen uygulamalar arasındaki API çağrılarını yakalama eylemidir Saldırganın kodu, bir uygulamanın onu yüklemesini sağlamak için meşru bir DLL dosyasını kötü amaçlı bir DLL dosyasıyla değiştirerek hedef sistemin tamamına bulaşır Bu, yeni fidye yazılımı türlerinin ve taktiklerinin proaktif olarak belirlenmesine yardımcı olarak zamanında tespit ve yanıt verilmesini sağlar

CPL ve DLL Yan Yükleme

Başlangıçta Microsoft Windows işletim sistemindeki Denetim Masası’ndaki araçlara hızlı erişim için oluşturulan CPL dosyaları, kötü niyetli kişilerin kötü amaçlı yazılımları gizlemek için başvurduğu bir yer haline geldi Olay müdahale planının masaüstü alıştırmalar ve simülasyonlar yoluyla düzenli olarak test edilmesi, fidye yazılımı saldırısı karşısında hazırlıklı olunmasını sağlar Fidye yazılımı olaylarına özel olarak tasarlanmış kapsamlı bir olay müdahale planı geliştirmek çok önemlidir

Saldırganlar, API çağrılarını engellemek ve hedeflerine hizmet edecek şekilde onları manipüle etmek için bu tekniği kullanır Kötü amaçlı kod, başka bir canlı işlemin adres alanında rastgele kod çalıştırarak meşru bir işlemin altına gizlenebilir ve güvenlik ürünlerinin tanımlanmasını zorlaştırabilir

EDR/XDR Dahil Genel Siber Dayanıklılık Nasıl Güvenceye Alınır?

EDR/XDR teknolojilerinin fidye yazılımından yararlanılmasıyla etkili bir şekilde mücadele etmek için kuruluşların, sürekli tehdit istihbaratı ve analizi, derinlemesine savunma ve olay müdahale planlaması dahil olmak üzere sağlam güvenlik önlemleri alması gerekir Diğer prensip, EDR’ler tarafından kullanılan algılama algoritmalarından kaçınmak için kodu sürekli değiştirerek kötü amaçlı yazılım çeşitleri üretebilen kod oluşturmak için üretken yapay zeka aracından yararlanma etrafında dönüyordu

Kullanıcı Alanı API Bağlantısı

API kancalaması, sürecin yürütülmesini izleyen ve değişiklikleri tespit eden yaygın olarak kullanılan bir tekniktir Sektöre özel bilgi paylaşım platformlarıyla işbirliği yapmak, en son saldırı teknikleri ve güvenlik ihlali göstergeleri hakkında değerli bilgiler sağlayabilir

Çok katmanlı güvenlik kontrolleriyle derinlemesine savunma yaklaşımını benimsemek, olası ihlallerin etkisini azaltır Bu önlemlerin alınmasıyla uç nokta savunmaları, sistemlerini ve verilerini kötü niyetli saldırıların yıkıcı etkilerinden korumada önemli bir rol oynamaya devam edebilir Saldırganlar, işlev çağrılarını kendi kodlarına yönlendirerek, kötü niyetli amaçlarını ilerletmek için bir uygulamanın davranışını manipüle edebilir

Fidye yazılımlarının ve Terminatör gibi hepsi bir arada EDR/XDR katillerinin nasıl çalıştığını anlayan kuruluşlar, bu sinsi tehditlere karşı savunma yapmak için kendilerini daha iyi donatabilirler

Kod enjeksiyonuna yönelik popüler tekniklerden biri, saldırganların Windows API’nin CreateProcess() işlevini kullanarak askıya alınmış durumda yeni bir işlem oluşturduğu süreç boşaltmadır BYOVD saldırıları ve savunmasız Zemana kötü amaçlı yazılımdan koruma sürücülerinin kullanımı yeni değildir; bu nedenle, bunun gibi ortaya çıkan tehditleri düzenli olarak analiz etmek ve mevcut siber güvenlik yığınınızın ve süreçlerinizin en yeni tehditleri tespit etme ve engelleme görevine uygun olup olmayacağını değerlendirmek önemlidir Yukarıda bahsedilen Terminatör aracı, meşru Zemana kötü amaçlı yazılımdan koruma sürücülerinden yararlanmak için kendi savunmasız sürücünüzü getirin (BYOVD) adı verilen bir teknik kullanır İlk prensip, her türlü kötü niyetli C2 altyapısının ortadan kaldırılması ve bunun yerine, ilgili verileri zararsız bir iletişim kanalı üzerinden saldırgana güvenli bir şekilde ileten gelişmiş otomasyonun kullanılmasıydı Zemana yasal bir araç olduğundan bu sürücülerin oluşturulmasını veya yüklenmesini engellemek mümkün değildir Dinamik bağlantı kitaplığı (DLL) yandan yükleme tekniği, saldırganların bir uygulamayı, normalde birden fazla program arasında aynı anda paylaşılan veriler için kullanılan orijinal dosyalar yerine sahte bir DLL dosyası yüklemesi için kandırmasına olanak tanır

Derinlemesine savunma

EDR/XDR’nin Ötesinde Güvenli Siber Dayanıklılık

Fidye yazılımı operatörleri ve kötü aktörler, kaçırma teknikleri kullanarak, güvenlik açıklarını hedef alarak ve Terminatör gibi araçlarla güvenlik teknolojilerini atlatmak için izleme yeteneklerini devre dışı bırakarak taktiklerini geliştirmeye devam ediyor



siber-1

SohbetGPT

Yakın zamanda oluşturulan BlackMamba adlı polimorfik keylogger, komut ve kontrol (C2) altyapısı olmadan kodu değiştirebiliyor Fidye Yazılımı Flash Kartı Lumu’nun 2023 raporuna göre, EDR ve XDR çözümleri tehditlerin belirlenmesinde ve azaltılmasında önemli roller oynuyor ancak şu anda belki de kötü aktörler için en sık atlatılan siber güvenlik araçlarıdır



2023’ün başlarında ” adlı bir kullanıcıcasus çocuk“, Rusça dilindeki Ramp forumu aracılığıyla Windows işletim sisteminde uç nokta savunmasından kaçmaya yönelik bir aracın tanıtımını yaptı

Olay müdahale planlaması Windows, geliştiricilere genellikle “kanca” olarak adlandırılan olayları, mesajları ve API çağrılarını ele geçirmek için araçlar sağlayarak uygulama kancasını kolaylaştırır Tehdit aktörlerini belirlemek için ağı bir bakış açısı olarak kullanmak, şirketlerin EDR/XDR çözümlerine ek olarak ek bir tehdit algılama katmanı sağlamasına yardımcı olabilir

Sürekli tehdit istihbaratı ve analizi yanıt (XDR) platformu

En yeni tehdit akışlarını ve istihbaratını uç nokta güvenliğiyle entegre etmek, daha güçlü bir EDR/XDR sistemine de olanak tanıyacak

Kod Ekleme

Saldırganlar, meşru bir uygulama veya sürece kötü amaçlı kod eklemek için genellikle kod enjeksiyonunu kullanır; bu da, kodun EDR veya EPP sistemleri tarafından tespit edilmesinden kaçmasına yardımcı olur

EDR/XDR teknolojileri, sağlam ve dinamik bir siber güvenlik yığınının bir öğesini oluşturur Ağ Tespiti ve Yanıtı (NDR) veya Ağ Analizi ve Görünürlüğü (NAV) araçları, kuruluşlara yalnızca uç noktalarda görülenlerden ziyade ağ üzerinden akan kötü amaçlı trafiğe ilişkin bilgi sağlar Kullanıcı alanı kancası, saldırganlar tarafından uygulamalar tarafından kullanıcı alanı içindeki sistem kitaplıklarına veya API’lere yapılan işlev çağrılarını engellemek için kullanılan yöntemlerden biridir Yazarının temel amacı, bir dizi temel ilkeye dayalı kod geliştirmekti Bu, virüs bulaşmış sistemleri yalıtmak, yayılmayı kontrol altına almak ve kritik verileri güvenli yedeklerden geri yüklemek için önceden tanımlanmış adımları içerir Bu, ağ bölümlendirmesinin, güvenlik duvarı kurallarının, izinsiz giriş önleme sistemlerinin ve kötü amaçlı yazılımdan koruma çözümlerinin dağıtılmasını içerir

Saldırgan, DLL yandan yükleme saldırısı gerçekleştirmek için, Microsoft uygulamasının DLL arama sırasını kullanarak bir Windows uygulamasını zararlı bir DLL dosyası yüklemesi için kandırır