Living off the Land saldırılarından nasıl korunuruz?

Yayınlanan: 2020-05-29

Living off the Land saldırıları son zamanlarda çekiş kazandı, bu nedenle bilgisayar korsanlarının artık eski stratejileri ve teknikleri yeniden kullandıklarını güvenle tahmin edebiliriz. Living Off the Land ile ilgili kavramlar pek yeni sayılmaz. Sistem araçları bir zamanlar arka kapılar olarak yaygın olarak kullanılıyordu ve sistemlerdeki bilinen güvenlik açıklarından yararlanılıyordu.

Living off the Land (LotL) saldırıları, bazen bir alt küme olarak dosyasız saldırılar içerdiğinden, savunması inanılmaz derecede zordur. Diğer zamanlarda, bilgisayar korsanları, ölümcül bir kombinasyon olan çift kullanımlı ve bellek araçlarından yararlanır. Bu rehberde, Living Off the Land saldırıları hakkında bilmeniz gereken her şeyi ve kendinizi veya kurumunuzu bunlardan nasıl koruyabileceğinizi anlatmak istiyoruz.

Living off the Land saldırıları nelerdir?

Living off the Land saldırıları, saldırganların araçlarını ilerletmek için (bilgi veya para çalmak, sistemleri ele geçirmek vb.) Bu tür saldırılar, dahil olan bilgisayar korsanlarının, güvenlik uygulama programlarının aramaya programlandığı kötü amaçlı programları kullanmaması bakımından benzersizdir. Saldırganlar normal araçlar ve hatta basit komut dosyaları kullandığından, tehdit algılaması çok zor hale gelir.

Örneğin dosyasız saldırılarda siber suçlular, PowerShell ve WMI'ye karşılık gelen kısımlarda geçici bellekte çalışabilir. Bu tür senaryolarda, antivirüsler ve kötü amaçlı yazılımdan koruma uygulamaları tehditleri algılayamaz ve bulamaz - çünkü girişleri bile günlüklerde depolanmaz. Ne de olsa, saldırı sırasında çok az dosya (veya hiç dosya) oluşturulmaz.

Saldırganların dosyasız gitmek için yeterli nedenleri var. Oluşturulan dosya sayısı ne kadar az olursa, güvenlik yardımcı programları tarafından tehditlerin tespit edilme şansının o kadar düşük olduğunu muhtemelen anladılar. Ve çoğunlukla, saldırganlar haklı. Güvenlik uygulamaları genellikle Living off the Land saldırılarını çok geç olana kadar tespit etmekte zorlanır çünkü ilk etapta neye dikkat edeceklerini bilemezler.

LotL saldırıları kötü amaçlı yazılım içermez, ancak saldırganlar (onlarda başarılı olurlarsa) algılanamayacakları alanlarda güvenliği ihlal edilmiş bilgisayarlarda kalmak için yeterli zamana sahip olurlar. Ve zamanla, saldırganlar sonunda hassas bileşenlere sızma ve verileri veya işlemleri (eğer isterlerse) yok etme fırsatları elde eder.

Belki 2017 yılında dünyayı sarsan Petya/NotPetya saldırılarını duymuşsunuzdur. Bu saldırıların kurbanları (kişiler ve kuruluşlar) onların geldiğini hiç görmemiştir çünkü saldırganlar sistemlerine güvenilen programlardan girmiş ve şüphe uyandırmayan, ve ardından bu uygulamalara kötü amaçlı kod enjekte etti. Geleneksel koruma sistemleri başarısız oldu; savunmaları, görünüşte güvenilir yazılımların olağandışı kullanımıyla tetiklenmedi.

Living off the Land teknikleri ile siber suçlular, herhangi bir alarm vermeden veya şüphe uyandırmadan BT sistemlerine sorunsuz bir şekilde girebilir ve bu sistemlerde çok fazla zaman harcayabilir. Bu nedenle, bu tür saldırıları tanımlayan koşullar göz önüne alındığında, güvenlik uzmanları saldırının kaynağını belirlemeyi zor buluyor. Birçok suçlu, Land off the Land taktiklerini saldırı gerçekleştirmek için ideal bir yöntem olarak görüyor.

Living off the Land saldırılarından nasıl korunulur (normal kullanıcılar veya bireyler için ipuçları)

Gerekli önlemleri alarak ve proaktif davranarak, LotL taktikleri ile bilgisayarlarınızın veya ağlarınızın siber suçlulara maruz kalma olasılığını azaltırsınız.

  1. Ağlarınızdaki çift kullanımlı yardımcı programların kullanımını her zaman izleyin veya kontrol edin.
  1. Uygun veya uygulanabilir olduğunda uygulama beyaz listesini kullanın.
  1. Beklenmeyen veya şüpheli e-postalar aldığınızda dikkatli olmalısınız. Bu tür mesajlarda hiçbir şeye (bağlantılara veya eklere) tıklamamanız her zaman daha iyidir.
  1. Tüm uygulamalarınız (programlarınız) ve işletim sistemleriniz (örneğin Windows) için her zaman güncellemeleri indirin ve yükleyin.
  1. Makroları etkinleştirmenizi gerektiren Microsoft Office eklerini kullanırken dikkatli olun. Bu tür ataşmanları ilk etapta kullanmamanız daha iyi - eğer kullanmamayı göze alabiliyorsanız.
  1. Mümkün olduğunda gelişmiş güvenlik özelliklerini yapılandırın. Gelişmiş güvenlik özellikleri ile iki faktörlü kimlik doğrulama (2FA), oturum açma bildirimleri veya istemleri vb. kastedilmektedir.
  1. Tüm hesaplarınız ve profilleriniz için (ağlar veya platformlar arasında) güçlü benzersiz şifreler kullanın. Bir şifre yöneticisi edinin - tüm şifreleri hatırlamanıza yardımcı olacak birine ihtiyacınız varsa.
  1. Oturumunuz bittiğinde her zaman profilinizi veya hesabınızı ağlardan çıkarmayı unutmayın.

Living off the Land saldırılarından nasıl kaçınılır (kuruluşlar ve işletmeler için ipuçları)

Living off the Land taktikleri, en gelişmiş bilgisayar korsanlığı tekniklerinden bazılarını oluşturduğundan, kuruluşların tanımlaması ve savuşturması için büyük bir zorluk teşkil eder. Bununla birlikte, şirketlerin bu tür saldırıların risklerini azaltmalarının (veya bu tür saldırıların etkilerini - eğer meydana gelirse) azaltmalarının hala yolları vardır.

  1. İyi bir siber hijyen sağlayın:

Bu ipucu, ilk bakışta alındığında basit veya basit görünebilir, ancak muhtemelen en önemlisidir. LotL taktiklerinin kullanıldığı saldırılar da dahil olmak üzere tarihteki siber saldırıların çoğu, ihmal veya güvenlik uygulamalarının eksikliği nedeniyle başarılı olmuştur. Birçok firma, kullandıkları araçları veya programları güncelleme veya yama yapma zahmetine girmez. Yazılım, güvenlik açıklarını ve güvenlik açıklarını kapatmak için genellikle yamalar ve güncellemelere ihtiyaç duyar.

Yamalar veya güncellemeler yüklenmediğinde, tehdit aktörlerinin güvenlik açıklarını bulması ve bunlardan faydalanması için kapı açık bırakılır. Kuruluşların, uygulamaların bir envanterini tutmalarını sağlama görevi vardır. Bu şekilde, eski ve yama uygulanmamış programları ve hatta işletim sistemlerini tespit edebilirler; ayrıca temel güncelleme görevlerini ne zaman gerçekleştirmeleri gerektiğini ve programa nasıl sadık kalacaklarını da bilirler.

Ayrıca, personel güvenlik bilinci konusunda eğitilmelidir. Bir kişiye kimlik avı e-postalarını açmamayı öğretmenin ötesine geçer. İdeal olarak, çalışanlar yerleşik Windows olanaklarının ve kodunun nasıl çalıştığını öğrenmelidir. Bu şekilde, davranışlardaki, kötü niyetli etkinliklerdeki ve arka planda çalışan ve algılamadan kaçınmaya çalışan şüpheli uygulamalar veya komut dosyalarındaki anormallikleri veya tutarsızlıkları tespit ederler. Windows arka plan etkinlikleri hakkında iyi bilgiye sahip personel, genellikle normal siber suçlulardan bir adım öndedir.

  1. Uygun erişim haklarını ve izinlerini yapılandırın:

Örneğin, bir çalışanın bir e-postadaki kötü amaçlı bir bağlantıya tıklaması, kötü niyetli programın çalışanın sistemine inmesiyle sonuçlanmamalıdır. Sistemler, açıklanan senaryoda, kötü amaçlı program ağda dolaşacak ve başka bir sisteme inecek şekilde tasarlanmalıdır. Bu durumda, üçüncü taraf uygulamaların ve normal kullanıcıların katı erişim protokollerine sahip olmasını sağlamak için ağın yeterince iyi bölümlere ayrıldığını söyleyebiliriz.

Bahşişin önemi, mümkün olduğu kadar çok vurguyu hak ediyor. Çalışanlara sağlanan erişim hakları ve ayrıcalıklarla ilgili sağlam protokollerin kullanılması, sistemlerinizin güvenliğinin ihlal edilmesini önlemede uzun bir yol kat edebilir; başarılı bir LotL saldırısı ile hiçbir yere gitmeyen bir saldırı arasındaki fark olabilir.

  1. Özel bir tehdit avlama stratejisi uygulayın:

Tehdit avcılarını, farklı tehdit biçimlerini bulmak için birlikte çalıştırdığınızda, tehdit algılama şansı önemli ölçüde artar. En iyi güvenlik uygulamaları, firmaların (özellikle büyük kuruluşların) özel tehdit avcıları çalıştırmasını ve en ölümcül veya karmaşık saldırıların zayıf işaretlerini bile kontrol etmek için BT altyapılarının farklı bölümlerinden geçmelerini gerektirir.

İşletmeniz nispeten küçükse veya kurum içi bir tehdit avı ekibine sahip olmayı göze alamıyorsanız, ihtiyaçlarınızı bir tehdit avlama firmasına veya benzer bir güvenlik yönetimi hizmetine dış kaynak sağlamakta fayda var. Bu kritik boşluğu doldurmakla ilgilenecek başka kuruluşlar veya serbest çalışan ekipleri bulmanız muhtemeldir. Her iki durumda da, tehdit avlama operasyonları gerçekleştirildiği sürece her şey yolunda.

  1. Uç Nokta Algılama ve Yanıtını (EDR) yapılandırın:

Siber saldırıları savuşturmak söz konusu olduğunda sessiz başarısızlık önemli bir terimdir. Sessiz arıza, özel güvenlik veya savunma sisteminin bir siber saldırıyı tanımlayamadığı ve bunlara karşı savunma yapamadığı ve saldırı gerçekleştikten sonra hiçbir alarmın çalmadığı bir senaryo veya kurulum anlamına gelir.

Öngörülen olayla şu paraleli düşünün: Dosyasız kötü amaçlı yazılım bir şekilde koruma katmanlarınızı aşmayı ve ağınıza erişmeyi başarırsa, sisteminizde uzun süre kalabilir ve daha büyük bir saldırıya hazırlanmak için tüm sisteminizi analiz etmeye çalışabilir. saldırı.

Bu amaçla, söz konusu sorunun üstesinden gelmek için sağlam bir Uç Nokta Tespiti ve Yanıtı (EDR) sistemi kurmalısınız. İyi bir EDR sistemi ile uç noktalarda var olan şüpheli maddeleri tespit edip izole edebilecek ve hatta onları ortadan kaldırabilecek veya onlardan kurtulabileceksiniz.

  1. Saldırıya uğradığınızda (saldırıya uğrarsanız) olayları ve senaryoları değerlendirin:

Makineleriniz saldırıya uğrarsa veya ağınız tehlikeye girerse, saldırının oluşumundaki olayları incelemeniz iyi olur. Saldırganların başarılı olmasında büyük rol oynayan dosyalara ve programlara bir göz atmanızı öneririz.

Siber güvenlik analistlerini işe alabilir ve onlardan geçmiş saldırıları ölçmek için kullanabilecekleri araçlara ve sistemlere odaklanmalarını isteyebilirsiniz. Firmaların saldırılara kurban gittiği senaryoların çoğu, şüpheli kayıt defteri anahtarları ve olağandışı çıktı dosyaları ve ayrıca aktif veya halen var olan tehditlerin belirlenmesi ile karakterize edilir.

Etkilenen dosyalardan bazılarını veya diğer ipuçlarını keşfettikten sonra, bunları iyice analiz etmeniz iyi olur. İdeal olarak, işlerin nerede yanlış gittiğini, nelerin daha iyi yapılması gerektiğini vb. bulmaya çalışmalısınız. Bu şekilde daha fazla bilgi edinir ve değerli bilgiler edinirsiniz, bu da gelecekteki LotL saldırılarını önlemek için güvenlik stratejinizdeki boşlukları doldurabileceğiniz anlamına gelir.

ÖNERİLEN

Kötü Amaçlı Yazılımdan Koruma ile PC'yi Tehditlerden Koruyun

Bilgisayarınızda antivirüsünüzün gözden kaçırabileceği kötü amaçlı yazılım olup olmadığını kontrol edin ve Auslogics Anti-Malware ile tehditlerin güvenli bir şekilde kaldırılmasını sağlayın

Auslogics Anti-Malware, Microsoft Silver Application Developer sertifikalı Auslogics'in bir ürünüdür.
ŞİMDİ İNDİRİN

İPUCU

Güvenlik, bu kılavuzdaki ana temadır, bu nedenle size mükemmel bir tekliften bahsetmek için daha iyi bir fırsat bulamayacağız. Bilgisayarlarınızda veya ağlarınızda güvenliği artırmak istiyorsanız, Auslogics Anti-Malware'i almak isteyebilirsiniz. Bu birinci sınıf koruma yardımcı programı ile, birden fazla tehditle başa çıkmak için yeterince dinamik olmayabilecek mevcut güvenlik kurulumunuzu iyileştirebilirsiniz.

Kötü amaçlı programlara karşı mücadelede iyileştirmeler her zaman memnuniyetle karşılanır. Mevcut güvenlik uygulamanızın ne zaman geçtiğini asla bilemezsiniz veya belki de bir tane bile kullanmıyorsunuz. Ayrıca, bilgisayarınızın şu anda güvenliğinin ihlal edilmediğini veya virüs bulaşmadığını kesin olarak söyleyemezsiniz. Her durumda, kendinize güvende kalma konusunda (önceden daha iyi) bir şans vermek için önerilen uygulamayı indirip çalıştırmanız iyi olur.