DOLAR

34,5351$% 0.13

EURO

36,2006% -0.17

STERLİN

43,5179£% -0.24

GRAM ALTIN

2.982,58%0,71

ONS

2.687,62%0,60

BİST100

9.367,77%3,72

Öğle Vakti a 12:55
İstanbul AÇIK 11°
  • Adana
  • Adıyaman
  • Afyonkarahisar
  • Ağrı
  • Amasya
  • Ankara
  • Antalya
  • Artvin
  • Aydın
  • Balıkesir
  • Bilecik
  • Bingöl
  • Bitlis
  • Bolu
  • Burdur
  • Bursa
  • Çanakkale
  • Çankırı
  • Çorum
  • Denizli
  • Diyarbakır
  • Edirne
  • Elazığ
  • Erzincan
  • Erzurum
  • Eskişehir
  • Gaziantep
  • Giresun
  • Gümüşhane
  • Hakkâri
  • Hatay
  • Isparta
  • Mersin
  • istanbul
  • izmir
  • Kars
  • Kastamonu
  • Kayseri
  • Kırklareli
  • Kırşehir
  • Kocaeli
  • Konya
  • Kütahya
  • Malatya
  • Manisa
  • Kahramanmaraş
  • Mardin
  • Muğla
  • Muş
  • Nevşehir
  • Niğde
  • Ordu
  • Rize
  • Sakarya
  • Samsun
  • Siirt
  • Sinop
  • Sivas
  • Tekirdağ
  • Tokat
  • Trabzon
  • Tunceli
  • Şanlıurfa
  • Uşak
  • Van
  • Yozgat
  • Zonguldak
  • Aksaray
  • Bayburt
  • Karaman
  • Kırıkkale
  • Batman
  • Şırnak
  • Bartın
  • Ardahan
  • Iğdır
  • Yalova
  • Karabük
  • Kilis
  • Osmaniye
  • Düzce
a
  • Evos Angels
  • Siber Güvenlikte Living-off-the-land Saldırıları ve Korunma Yöntemleri

Siber Güvenlikte Living-off-the-land Saldırıları ve Korunma Yöntemleri

Siber Güvenlikte Living-off-the-land Saldırıları

Siber Güvenlikte Living-off-the-land Saldırıları

Siber güvenlik alanında “Living-off-the-land” (LotL) saldırıları, son yıllarda tespit edilmesi giderek zorlaşan bir tehdit haline gelmiştir. Bu tür saldırılar, kötü niyetli yazılımlara başvurmak yerine, sistemin kendi meşru araçlarını -örneğin PowerShell, WMI veya Office makroları gibi- kullanarak gerçekleştirilmektedir. Böylece, saldırganlar bir ağ içerisinde gizlice hareket etme imkanı bulmaktadır. Geleneksel güvenlik önlemleri, bu meşru ve dijital olarak imzalanmış araçların kullanımını tespit edemediği için LotL saldırıları daha da cazip hale gelmektedir. Bu saldırılar, tespit edilmeden hareket etme şansı sundukları için siber suçlular tarafından sıklıkla tercih edilmektedir. Ayrıca, bu yaklaşım, saldırganların daha uzun süre gizli kalmasına ve dolayısıyla başarılı bir ihlal gerçekleştirme olasılığını artırmasına yol açmaktadır.

WatchGuard Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez, LotL saldırılarında kullanılan yaygın teknikleri ve bu tür saldırılara karşı korunma yollarını detaylı bir şekilde açıklamaktadır. Siber güvenlik dünyasında LotL saldırıları, giderek artan bir endişe kaynağı olmayı sürdürmektedir. Bu saldırı türü, siber suçluların mevcut sistem araçlarını kullanarak hedeflerine saldırmalarını ve ağlarda fark edilmeden dolaşmalarını sağlamaktadır. Mevcut sistem araçları, normal işleyişin bir parçası olarak kabul edildiği için tespit edilme olasılığı büyük ölçüde azalmaktadır. Bu durum, hedef sistemde daha uzun süre kalabilme imkanı tanımaktadır. Saldırganlar, sistem üzerinde kontrol sağlamayı, verilerin çalınmasını, itibar zedelenmesini ve diğer birçok amacı gerçekleştirmeyi hedeflemektedir.

LotL Saldırılarındaki Yaygın Teknikler

  • PowerShell: Windows sistem yöneticileri tarafından aktif bir şekilde kullanılan PowerShell, siber saldırganlar tarafından kötü amaçlı komut dosyalarını indirmek, çalıştırmak, uzak bağlantılar kurmak ve sistem ayarlarını belirgin izler bırakmadan değiştirmek için kullanılmaktadır.
  • WMI: Windows işletim sistemleri için bir yönetim altyapısı olan WMI, sistem bilgilerini toplamak ve yönetim görevlerini yerine getirmek için kullanılmaktadır. Bu araç, kullanıcı erişimi olmaksızın uzaktan komutları yürütmek, zayıf noktaları belirlemek için sistem verilerini toplamak ve sistemde kalıcılığı sağlamak amacıyla kullanılabilir.
  • Uzaktan Yönetim Araçları: PsExec gibi araçlar, kötü amaçlı komutları uzaktan yürüterek hedef sistem üzerinde değişiklik yapmak için yeniden kullanılabilir.
  • Office Makroları: Office belgelerine yerleştirilen kötü amaçlı makrolar, açıldıklarında kodu çalıştırarak kullanıcı güvenini suistimal eder ve sistemlere sızabilir.

Living-off-the-land Saldırılarına Karşı Korunma Yöntemleri

  • Uygulama Denetimi: PowerShell ve WMI gibi araçların kullanımını belirli kullanıcılar ve işlemlerle sınırlamak, bu araçların kötüye kullanımını önlemek için etkili bir yöntemdir.
  • Uzaktan Shell ile Hızlı Müdahale: WatchGuard Advanced EPDR’nin yeni sürümü, dosyaları almak, işlemleri incelemek ve Windows, Linux veya macOS platformlarında doğrudan eylemde bulunma yeteneği sunmaktadır.
  • Risk Oluşturan Bağlantılar Üzerinde Dikkat: Ağ segmentasyonu kullanarak farklı ağ segmentleri veya uç noktaları arasındaki iletişimin sınırlandırılması, saldırganların LotL tekniklerini kullanarak yanal hareket etmelerini önleyebilir.
  • Eğitim ve Farkındalık: Çalışanlara makroların riskleri ve yönetim araçlarının güvenli kullanımı hakkında eğitim verilmesi, kötü amaçlı komut dosyalarının yanlışlıkla yürütülmesinin önlenmesine yardımcı olabilir.
  • İzleme ve Otomatik Davranış Analizi: Sadece imzalara veya uç nokta teknolojisine güvenmek yerine, olağandışı sistem etkinliklerini tespit etmek için bulutta davranış analitiğini kullanmak önemlidir.

Bu stratejilerin başarılı bir şekilde uygulanabilmesi için, güvenilmeyen uygulamaları engelleyen ve yalnızca güvenilirliklerini doğruladıktan sonra yürütülmelerine izin veren Sıfır Güven Uygulama Hizmeti ve Tehdit Avı Hizmeti gibi önlemler gereklidir. Ayrıca, WatchGuard Advanced EPDR, güvenlik analistlerinin LotL tekniklerini kullanarak bir saldırganın varlığını hızla tespit edip yanıt vermelerini sağlayan işlevler sunmaktadır.

KAYNAK: HABER7

ad826x90

0 0 0 0 0 0
SİZİN İÇİN SEÇTİKLERİMİZ
YORUMLAR

s

En az 10 karakter gerekli

Sıradaki haber:

Siber Güvenlikte Living-off-the-land Saldırıları ve Korunma Yöntemleri

HIZLI YORUM YAP

0 0 0 0 0 0