Siber suçluların en çok kullandığı LOLBin’ler

Siber saldırılar genelde yalnızca yaygın birkaç işletim sistemi bileşenine dayanıyor.

Siber suçlular uzun zamandır Microsoft Windows kullanıcılarına saldırmak için yasal programlar ve işletim sistemi bileşenleri kullanıyor. Bu teknik, Living off the Land saldırısı olarak biliniyor. Saldırganlar bu taktik sayesinde bir siber taşla birkaç kuş vurmaya, kötü amaçlı yazılım araç kiti geliştirme maliyetini düşürmeye, işletim sistemi ayakizlerini minimize etmeye ve faaliyetlerini meşru BT aktiviteleri arasına gizlemeye çalışıyor.

Diğer bir deyişle, ana hedef, kötü amaçlı aktivitelerinin tespit edilmesini zorlaştırmak. Bu nedenle güvenik uzmanları uzun zamandır potansiyel olarak güvenli olmayan yürütülebilir dosyaları, komut dosyalarını ve kitaplıkları izliyorlar. Hatta GitHub’daki LOLBAS projesi altında bir tür kayıt da tutuyorlar.

[MDR placeholder] Kaspersky Yönetilen Tespit ve Yanıt (MDR)[/MDR placeholder] servisinde geniş bir iş alanı yelpazesindeki çok sayıda şirketi koruyan meslektaşlarımız, gerçek hayattaki saldırılarda bu yaklaşımı sıklıkla görüyorlar. Yönetilen Tespit ve Yanıt Analist Raporu’nda modern işletmelere saldırmak için en sık kullanılan sistem bileşenlerini incelediler. İşte keşfettikleri:

Altın madalya PowerShell’e

Komut satırı arayüzüne sahip bir komut dosyası dili ve yazılım motoru olan PowerShell, Microsoft’un daha güvenli ve kontrol edilebilir hale getirme çabalarına rağmen açık ara farkla siber suçlular arasında en yaygın kullanılan meşru araç oldu. MDR servisimiz tarafından tanımlanan olayların %3,3’ü, PowerShell’i kötüye kullanma teşebbüsü içeriyordu. Dahası, anketi yalnızca kritik olaylara indirgediğimizde PowerShell’in her beş olaydan birinde (tam olarak %20,3’ünde) parmağı olduğunu görüyoruz.

Gümüş madalya rundll32.exe’ye

İkinci sırada, dinamik bağlantı kitaplıklarından (DLL’lerden) kod çalıştırmak için kullanılan rundll32 ana işlemini görüyoruz. Tüm olayların %2’sine, kritik olayların %5,1’ine karışmış.

Bronz madalya birkaç yardımcı programa

Tüm olayların %1,9’unda geçen beş araç bulduk:

  • Test Authoring and Execution Framework’ün bir parçası olan te.exe,
  • Uzaktan sistemlerde işlem yürütmeye yarayan bir araç olan PsExec.exe,
  • Sertifikasyon yetkililerinden bilgi almaya yarayan bir araç olan CertUtil.exe,
  • Komut satırından sistem kaydına anahtar eklemek ve değiştirmek için kullanılabilen Microsoft Registry Console Tool, Reg.exe,
  • Komut dosyası dillerinde komut çalıştırmak için tasarlanan Windows Script Host, wscript.exe

Bu beş yürütülebilir dosya, kritik olayların %7,2’sinde kullanılmıştı.

Kaspersky MDR uzmanları; msiexec.exe, remote.exe, atbrocker.exe, cscript.exe, netsh.exe, schtasks.exe, excel.exe, print.exe, mshta.exe, msbuild.exe , powerpnt.exe, dllhost.exe, regsvr32.exe, winword.exe, ve shell32.exe’nin de kullanıldığını gözlemledi.

Yönetilen Tespit ve Yanıt Analist Raporu’ndan daha fazla sonuç için buraya bakabilirsiniz.

İpuçları