Picus 5 milyondan fazla ziyanlı aksiyonu ortaya çıkardı

Yeni Picus Red Report “İsviçre Çakısı” Olarak Nitelendirilen Ziyanlı Yazılımlara Karşı Uyarıyor. Yeni ortaya çıkan çok taraflı ziyanlı yazılımlar atlatma, yanal hareket ve data şifrelemede epey yetenekli

Siber İhlal ve Atak Simulasyonu (BAS) alanının kurucusu olan Picus Security, 550 bin’den fazla ziyanlı yazılımın derinlemesine tahlil edildiği ve bugüne kadar yapılan en geniş çaplı araştırma olan The Red Report 2023’ü yayınladı. 

Bu rapor kapsamında araştırmacılar, ziyanlı yazılımların davranışlarını gözlemleyerek 5 milyondan fazla ziyanlı aksiyonu ortaya çıkardı ve bu bilgileri 2022 yılında siber hatalılar tarafından kullanılan en yaygın on atak tekniğini belirlemek için kullandı. Picus, bu raporun bulgularına dayanarak, güvenlik denetimlerini atlatabilen ve Cyber Kill Chain basamaklarının bir birçoklarında ziyanlı aksiyonlar gerçekleştirebilen ve “İsviçre çakısı”  olarak nitelendirilen çok maksatlı ziyanlı yazılımların” artacağı konusunda uyarıyor.

Picus Labs’ın tahlil ettiği ziyanlı yazılımların üçte birinin 20’den fazla başka Taktik, Teknik ve Prosedür (TTP) sergileyebilmesi, şimdiki ziyanlı yazılımların çok taraflılığını ortaya koyuyor. Bu ziyanlı yazılımlar giderek artan bir formda ziyanlı olmayan yazılımları berbata kullanabiliyor, yanal hareket gerçekleştirebiliyor ve belgeleri şifreleyebiliyor. Fidye yazılımlarının artan karmaşıklığı, âlâ finanse edilen fidye yazılımı kartellerinin geniş kaynaklarından ve güvenlik grupları tarafından kullanılan davranış tabanlı atak tespit metotlarının giderek gelişmesinden ötürü tehdit aktörlerinin yeni atlatma teknikleri aramalarından kaynaklanıyor.

“Modern ziyanlı yazılımlar çok farklı formlarda karşımıza çıkmaktadır,” diyen Picus Security Kurucu Ortağı ve Genel Müdür Yardımcısı Dr. Süleyman Özarslan şunları aktardı: “Zararlı yazılımların kimi kolay tipleri temel fonksiyonların yerine getirilmesi için tasarlanmıştır. Başkalarıysa bir cerrahın neşteri üzere tek bir vazifesi çok hassas bir halde yerine getirmek üzere geliştirilmiştir. Günümüzde ise bu iki özelliğe de sahip, her şeyi yapabilen daha fazla ziyanlı yazılım görüyoruz. ‘İsviçre çakısı’ üzere pek çok işlevi barındıran bu ziyanlı yazılımlar saldırganların ağlarda fark edilmeden büyük bir süratle ilerlemesini, kritik sistemlere erişmek için kimlik bilgilerini elde etmesini ve bilgileri şifrelemesini sağlayabilir.”

Picus’un her yıl nizamlı olarak yayınladığı bir rapor olan Red Report, ziyanlı yazılımların vakit içindeki gelişimini takip etmeye imkan verdiği için hayli kıymetli. Rapor sonuçları ayrıyeten güvenlik gruplarının MITRE ATT&CK siber akın çerçevesinde yer alan en yaygın atak tekniklerine karşı alınacak tedbirlerin önceliklendirilmesine de yardımcı oluyor.

Raporda öne çıkan bulgular şöyle: 

• Zararlı yazılımların geneli 11 TTP kullanıyor. Ziyanlı yazılımların üçte biri (%32) 20’den fazla TTP’den, onda biri ise 30’dan fazla TTP’den yararlanıyor.

• Kod ve Komut Belgesi Yorumlayıcısı (Command and Scripting Interpreter), ziyanlı yazılım örneklerinin yaklaşık üçte biri tarafından kullanolan en yaygın ATT&CK tekniği olarak karşımıza çıkıyor. Uzaktan Sistem Keşfi (Remote System Discovery) ve Uzak Hizmetlerin (Remote Services) birinci kere The Red Report Top 10’de yer alması, ziyanlı yazılımların tespit edilmemek için işletim sistemlerindeki yerleşik araçları ve protokolleri ne ölçüde berbata kullandığının öbür bir göstergesi.
• Tespit edilen en yaygın 10 ATT&CK tekniğinden dördü, kurumsal ağlar içinde yanal hareketlere dayanak olmak emeliyle kullanılıyor.
• Tüm ziyanlı yazılımların dörtte biri dataları şifreleme kapasitesine sahip ve bu durum fidye yazılım tehdidinin devam ettiğinin değerli bir göstergesi.

“Hem fidye yazılımı operatörlerinin hem de dünyadaki devlet takviyeli tehdit aktörlerinin gayesi, bir maksada mümkün olduğunca süratli ve verimli bir formda ulaşmaktır,” diyen Dr. Ozarslan şöyle konuştu: 

“Günümüzde daha fazla ziyanlı yazılımın yanal hareket gerçekleştirebilmesi, her cinsten siber saldırganın BT ortamlarındaki farklılıklara ahenk sağlamak zorunda kaldığının ve maddi kar sağlamak için daha çok çalıştığının bir işareti. Gitgide daha sofistike hale gelen ziyanlı yazılımlara karşı savunma yapmak zorunda kalan güvenlik grupları bu durumla uğraş edebilmek için yaklaşımlarını geliştirmeye devam etmeli. Kurumlar, yaygın olarak kullanılan taarruz tekniklerine öncelik vererek ve güvenlik denetimlerinin aktifliğini daima olarak doğrulayarak kritik varlıklarını savunma konusunda çok daha hazırlıklı olabilirler. Ayrıyeten bu sayede tüm dikkat ve kaynaklarının siber savunmalarında en büyük etkiyi yaratacak alanlar üzerinde ağırlaşmasını sağlayabileceklerdir.”

Önemli notlar:

Metodoloji

Picus Labs, Ocak 2022 ile Aralık 2022 tarihleri ortasında 556,107 özel belgeyi tahlil etti ve bunlardan 507,912’sinin (%91) ziyanlı olarak sınıflandırıldığını belirledi. 

Aşağıda belirtilenlerle sonlu olmamak üzere bu belgelerin kaynakları şunlardır: 

• Ticari ve açık kaynaklı tehdit istihbarat servisleri
• Güvenlik üreticileri ve araştırmacıları
• Zararlı yazılım sandbox sistemleri
• Zararlı yazılım veritabanları

Toplam 5.388.946 sürecin elde edildiği bu evraklardan ziyanlı yazılım başına ortalama 11 ziyanlı aksiyon tespit edilmiştir. Bu aksiyonlar daha sonra MITRE ATT&CK teknikleriyle eşleştirimişi ve ziyanlı yazılım başına ortalama 9 atak tekni kullanıldığı ortaya çıkmıştır.

Picus Labs araştırmacıları, Red Report 2023 Top Deri’yi derlemek için her bir tekniği kullanan ziyanlı evrak sayısını tespit etti. Akabinde, data kümesinde bu tekniği kullanan ziyanlı yazılımların yüzdesini hesapladı. Örneğin, T1059 Kod ve Komut Evrakı Yorumlayıcısı tekniği, tahlil edilen 507.912 ziyanlı belgenin 159.196’sı (%31) tarafından kullanıldı.

Kaynak: (BYZHA) – Beyaz Haber Ajansı