Bu Karşı Tedbirlerle EDR/XDR Açıklarını Önleyin - Dünyadan Güncel Teknoloji Haberleri

Bu Karşı Tedbirlerle EDR/XDR Açıklarını Önleyin - Dünyadan Güncel Teknoloji Haberleri
Tehdit aktörlerini belirlemek için ağı bir bakış açısı olarak kullanmak, şirketlerin EDR/XDR çözümlerine ek olarak ek bir tehdit algılama katmanı sağlamasına yardımcı olabilir Yukarıda bahsedilen Terminatör aracı, meşru Zemana kötü amaçlı yazılımdan koruma sürücülerinden yararlanmak için kendi savunmasız sürücünüzü getirin (BYOVD) adı verilen bir teknik kullanır Kötü amaçlı kod, başka bir canlı işlemin adres alanında rastgele kod çalıştırarak meşru bir işlemin altına gizlenebilir ve güvenlik ürünlerinin tanımlanmasını zorlaştırabilir “Terminatör” başlıklı bir videoda tanıtılan yazılımın, iddiaya göre her türlü uç nokta tespitini ve yanıtını (EDR) ve genişletilmiş tespit ve müdahaleyi sonlandırabileceği iddia ediliyor yanıt (XDR) platformu Saldırganın kodu, bir uygulamanın onu yüklemesini sağlamak için meşru bir DLL dosyasını kötü amaçlı bir DLL dosyasıyla değiştirerek hedef sistemin tamamına bulaşır Olay müdahale planının masaüstü alıştırmalar ve simülasyonlar yoluyla düzenli olarak test edilmesi, fidye yazılımı saldırısı karşısında hazırlıklı olunmasını sağlar

Çok katmanlı güvenlik kontrolleriyle derinlemesine savunma yaklaşımını benimsemek, olası ihlallerin etkisini azaltır Yazarının temel amacı, bir dizi temel ilkeye dayalı kod geliştirmekti



2023’ün başlarında ” adlı bir kullanıcıcasus çocuk“, Rusça dilindeki Ramp forumu aracılığıyla Windows işletim sisteminde uç nokta savunmasından kaçmaya yönelik bir aracın tanıtımını yaptı

Saldırganlar, API çağrılarını engellemek ve hedeflerine hizmet edecek şekilde onları manipüle etmek için bu tekniği kullanır

En yeni tehdit akışlarını ve istihbaratını uç nokta güvenliğiyle entegre etmek, daha güçlü bir EDR/XDR sistemine de olanak tanıyacak Kullanıcı alanı kancası, saldırganlar tarafından uygulamalar tarafından kullanıcı alanı içindeki sistem kitaplıklarına veya API’lere yapılan işlev çağrılarını engellemek için kullanılan yöntemlerden biridir Diğer prensip, EDR’ler tarafından kullanılan algılama algoritmalarından kaçınmak için kodu sürekli değiştirerek kötü amaçlı yazılım çeşitleri üretebilen kod oluşturmak için üretken yapay zeka aracından yararlanma etrafında dönüyordu Bu, yeni fidye yazılımı türlerinin ve taktiklerinin proaktif olarak belirlenmesine yardımcı olarak zamanında tespit ve yanıt verilmesini sağlar

EDR/XDR teknolojileri, sağlam ve dinamik bir siber güvenlik yığınının bir öğesini oluşturur

EDR/XDR’nin Ötesinde Güvenli Siber Dayanıklılık

Fidye yazılımı operatörleri ve kötü aktörler, kaçırma teknikleri kullanarak, güvenlik açıklarını hedef alarak ve Terminatör gibi araçlarla güvenlik teknolojilerini atlatmak için izleme yeteneklerini devre dışı bırakarak taktiklerini geliştirmeye devam ediyor Sektöre özel bilgi paylaşım platformlarıyla işbirliği yapmak, en son saldırı teknikleri ve güvenlik ihlali göstergeleri hakkında değerli bilgiler sağlayabilir

Kullanıcı Alanı API Bağlantısı

API kancalaması, sürecin yürütülmesini izleyen ve değişiklikleri tespit eden yaygın olarak kullanılan bir tekniktir

Kuruluşlar ayrıca gelişen fidye yazılımı tehditlerinin önünde kalabilmek için tehdit istihbaratı beslemelerinden yararlanmalı ve ortaya çıkan trendlere ilişkin düzenli analizler yapmalıdır Odak noktası, savunmasız Zemana sürücülerinin ne zaman diske yazıldığını veya süreçler tarafından yüklendiğini tespit etmekti Fidye yazılımı olaylarına özel olarak tasarlanmış kapsamlı bir olay müdahale planı geliştirmek çok önemlidir Zemana yasal bir araç olduğundan bu sürücülerin oluşturulmasını veya yüklenmesini engellemek mümkün değildir

Fidye yazılımlarının ve Terminatör gibi hepsi bir arada EDR/XDR katillerinin nasıl çalıştığını anlayan kuruluşlar, bu sinsi tehditlere karşı savunma yapmak için kendilerini daha iyi donatabilirler İlk prensip, her türlü kötü niyetli C2 altyapısının ortadan kaldırılması ve bunun yerine, ilgili verileri zararsız bir iletişim kanalı üzerinden saldırgana güvenli bir şekilde ileten gelişmiş otomasyonun kullanılmasıydı Bu, virüs bulaşmış sistemleri yalıtmak, yayılmayı kontrol altına almak ve kritik verileri güvenli yedeklerden geri yüklemek için önceden tanımlanmış adımları içerir Daha sonra, meşru ikili dosyanın bellek sayfalarını ZwUnmapViewOfSection() veya NtUnmapViewOfSection Windows API işlevleriyle yeni işlemin adres alanından çıkararak işlemin “oyulması” sağlanır ve yeni işlem boş bir adres alanıyla bırakılır

Sürekli tehdit istihbaratı ve analizi

Derinlemesine savunma Dinamik bağlantı kitaplığı (DLL) yandan yükleme tekniği, saldırganların bir uygulamayı, normalde birden fazla program arasında aynı anda paylaşılan veriler için kullanılan orijinal dosyalar yerine sahte bir DLL dosyası yüklemesi için kandırmasına olanak tanır

CPL ve DLL Yan Yükleme

Başlangıçta Microsoft Windows işletim sistemindeki Denetim Masası’ndaki araçlara hızlı erişim için oluşturulan CPL dosyaları, kötü niyetli kişilerin kötü amaçlı yazılımları gizlemek için başvurduğu bir yer haline geldi Windows, geliştiricilere genellikle “kanca” olarak adlandırılan olayları, mesajları ve API çağrılarını ele geçirmek için araçlar sağlayarak uygulama kancasını kolaylaştırır

Bu tür bir teknik, küçük işletmelerden hizmet sağlayıcılara ve işletmelere kadar tüm kuruluşları sürekli risk altına sokar

Olay müdahale planlaması

Kod enjeksiyonuna yönelik popüler tekniklerden biri, saldırganların Windows API’nin CreateProcess() işlevini kullanarak askıya alınmış durumda yeni bir işlem oluşturduğu süreç boşaltmadır Saldırganlar, işlev çağrılarını kendi kodlarına yönlendirerek, kötü niyetli amaçlarını ilerletmek için bir uygulamanın davranışını manipüle edebilir

EDR/XDR Dahil Genel Siber Dayanıklılık Nasıl Güvenceye Alınır?

EDR/XDR teknolojilerinin fidye yazılımından yararlanılmasıyla etkili bir şekilde mücadele etmek için kuruluşların, sürekli tehdit istihbaratı ve analizi, derinlemesine savunma ve olay müdahale planlaması dahil olmak üzere sağlam güvenlik önlemleri alması gerekir

SohbetGPT

Yakın zamanda oluşturulan BlackMamba adlı polimorfik keylogger, komut ve kontrol (C2) altyapısı olmadan kodu değiştirebiliyor Fidye Yazılımı Flash Kartı

Kod Ekleme

Saldırganlar, meşru bir uygulama veya sürece kötü amaçlı kod eklemek için genellikle kod enjeksiyonunu kullanır; bu da, kodun EDR veya EPP sistemleri tarafından tespit edilmesinden kaçmasına yardımcı olur Ağ Tespiti ve Yanıtı (NDR) veya Ağ Analizi ve Görünürlüğü (NAV) araçları, kuruluşlara yalnızca uç noktalarda görülenlerden ziyade ağ üzerinden akan kötü amaçlı trafiğe ilişkin bilgi sağlar



siber-1

Sürekli tehdit istihbaratı, derinlemesine savunma ve özenli olay müdahale planlamasıyla EDR/XDR araçları, tüm siber güvenlik operasyonu güçlendirilirken kendi içlerinde daha güçlü hale gelir Bu, ağ bölümlendirmesinin, güvenlik duvarı kurallarının, izinsiz giriş önleme sistemlerinin ve kötü amaçlı yazılımdan koruma çözümlerinin dağıtılmasını içerir BYOVD saldırıları ve savunmasız Zemana kötü amaçlı yazılımdan koruma sürücülerinin kullanımı yeni değildir; bu nedenle, bunun gibi ortaya çıkan tehditleri düzenli olarak analiz etmek ve mevcut siber güvenlik yığınınızın ve süreçlerinizin en yeni tehditleri tespit etme ve engelleme görevine uygun olup olmayacağını değerlendirmek önemlidir “Hooking” esasen uygulamalar arasındaki API çağrılarını yakalama eylemidir Lumu’nun 2023 raporuna göre, EDR ve XDR çözümleri tehditlerin belirlenmesinde ve azaltılmasında önemli roller oynuyor ancak şu anda belki de kötü aktörler için en sık atlatılan siber güvenlik araçlarıdır Kuruluşlar, kritik uç noktaları etkili bir şekilde izlemek için EDR/XDR çözümlerini yapılandırmalıdır; ancak şirketler, saldırı yüzeylerinin muhtemelen bir EDR aracısının uyumlu olmadığı eski cihazlardan veya bir EDR/XDR aracısı yüklemenize izin vermeyen basit IOT/OT cihazlarından oluşturulduğunun farkında olmalıdır

Saldırgan, DLL yandan yükleme saldırısı gerçekleştirmek için, Microsoft uygulamasının DLL arama sırasını kullanarak bir Windows uygulamasını zararlı bir DLL dosyası yüklemesi için kandırır Bu önlemlerin alınmasıyla uç nokta savunmaları, sistemlerini ve verilerini kötü niyetli saldırıların yıkıcı etkilerinden korumada önemli bir rol oynamaya devam edebilir