Picus 5 milyondan fazla zararlı aksiyonu ortaya çıkardı

Yeni Picus Red Report “İsviçre Çakısı” Olarak Nitelendirilen Zararlı Yazılımlara Karşı Uyarıyor. Yeni ortaya çıkan çok yönlü zararlı yazılımlar atlatma, yanal hareket ve veri şifrelemede oldukça yetenekli

Siber İhlal ve Atak Simulasyonu (BAS) alanının kurucusu olan Picus Security, 550 bin’den fazla zararlı yazılımın derinlemesine analiz edildiği ve bugüne kadar yapılan en geniş çaplı araştırma olan The Red Report 2023’ü yayınladı. 

Bu rapor kapsamında araştırmacılar, zararlı yazılımların davranışlarını gözlemleyerek 5 milyondan fazla zararlı aksiyonu ortaya çıkardı ve bu verileri 2022 yılında siber suçlular tarafından kullanılan en yaygın on atak tekniğini belirlemek için kullandı. Picus, bu raporun bulgularına dayanarak, güvenlik kontrollerini atlatabilen ve Cyber Kill Chain aşamalarının bir çoğunda zararlı aksiyonlar gerçekleştirebilen ve “İsviçre çakısı”  olarak nitelendirilen çok amaçlı zararlı yazılımların” artacağı konusunda uyarıyor.

Picus Labs’ın analiz ettiği zararlı yazılımların üçte birinin 20’den fazla ayrı Taktik, Teknik ve Prosedür (TTP) sergileyebilmesi, güncel zararlı yazılımların çok yönlülüğünü ortaya koyuyor. Bu zararlı yazılımlar giderek artan bir şekilde zararlı olmayan yazılımları kötüye kullanabiliyor, yanal hareket gerçekleştirebiliyor ve dosyaları şifreleyebiliyor. Fidye yazılımlarının artan karmaşıklığı, iyi finanse edilen fidye yazılımı kartellerinin geniş kaynaklarından ve güvenlik ekipleri tarafından kullanılan davranış tabanlı saldırı tespit yöntemlerinin giderek gelişmesinden dolayı tehdit aktörlerinin yeni atlatma teknikleri aramalarından kaynaklanıyor.

“Modern zararlı yazılımlar çok farklı formlarda karşımıza çıkmaktadır,” diyen Picus Security Kurucu Ortağı ve Genel Müdür Yardımcısı Dr. Süleyman Özarslan şunları aktardı: “Zararlı yazılımların bazı basit türleri temel işlevlerin yerine getirilmesi için tasarlanmıştır. Diğerleriyse bir cerrahın neşteri gibi tek bir görevi çok hassas bir şekilde yerine getirmek üzere geliştirilmiştir. Günümüzde ise bu iki özelliğe de sahip, her şeyi yapabilen daha fazla zararlı yazılım görüyoruz. ‘İsviçre çakısı’ gibi pek çok fonksiyonu barındıran bu zararlı yazılımlar saldırganların ağlarda fark edilmeden büyük bir hızla ilerlemesini, kritik sistemlere erişmek için kimlik bilgilerini elde etmesini ve verileri şifrelemesini sağlayabilir.”

Picus’un her yıl düzenli olarak yayınladığı bir rapor olan Red Report, zararlı yazılımların zaman içindeki gelişimini takip etmeye imkan verdiği için oldukça önemli. Rapor sonuçları ayrıca güvenlik ekiplerinin MITRE ATT&CK siber saldırı çerçevesinde yer alan en yaygın atak tekniklerine karşı alınacak önlemlerin önceliklendirilmesine de yardımcı oluyor.

Raporda öne çıkan bulgular şöyle: 

• Zararlı yazılımların geneli 11 TTP kullanıyor. Zararlı yazılımların üçte biri (%32) 20’den fazla TTP’den, onda biri ise 30’dan fazla TTP’den yararlanıyor.

• Kod ve Komut Dosyası Yorumlayıcısı (Command and Scripting Interpreter), zararlı yazılım örneklerinin yaklaşık üçte biri tarafından kullanolan en yaygın ATT&CK tekniği olarak karşımıza çıkıyor. Uzaktan Sistem Keşfi (Remote System Discovery) ve Uzak Hizmetlerin (Remote Services) ilk kez The Red Report Top 10’de yer alması, zararlı yazılımların tespit edilmemek için işletim sistemlerindeki yerleşik araçları ve protokolleri ne ölçüde kötüye kullandığının başka bir göstergesi.
• Tespit edilen en yaygın 10 ATT&CK tekniğinden dördü, kurumsal ağlar içinde yanal hareketlere destek olmak amacıyla kullanılıyor.
• Tüm zararlı yazılımların dörtte biri verileri şifreleme kapasitesine sahip ve bu durum fidye yazılım tehdidinin devam ettiğinin önemli bir göstergesi.

“Hem fidye yazılımı operatörlerinin hem de dünyadaki devlet destekli tehdit aktörlerinin amacı, bir hedefe mümkün olduğunca hızlı ve verimli bir şekilde ulaşmaktır,” diyen Dr. Ozarslan şöyle konuştu: 

“Günümüzde daha fazla zararlı yazılımın yanal hareket gerçekleştirebilmesi, her türden siber saldırganın BT ortamlarındaki farklılıklara uyum sağlamak zorunda kaldığının ve maddi kazanç sağlamak için daha çok çalıştığının bir işareti. Gittikçe daha sofistike hale gelen zararlı yazılımlara karşı savunma yapmak zorunda kalan güvenlik ekipleri bu durumla mücadele edebilmek için yaklaşımlarını geliştirmeye devam etmeli. Kurumlar, yaygın olarak kullanılan saldırı tekniklerine öncelik vererek ve güvenlik kontrollerinin etkinliğini sürekli olarak doğrulayarak kritik varlıklarını savunma konusunda çok daha hazırlıklı olabilirler. Ayrıca bu sayede tüm dikkat ve kaynaklarının siber savunmalarında en büyük etkiyi yaratacak alanlar üzerinde yoğunlaşmasını sağlayabileceklerdir.”

Önemli notlar:

Metodoloji

Picus Labs, Ocak 2022 ile Aralık 2022 tarihleri arasında 556,107 özel dosyayı analiz etti ve bunlardan 507,912’sinin (%91) zararlı olarak sınıflandırıldığını belirledi. 

Aşağıda belirtilenlerle sınırlı olmamak üzere bu dosyaların kaynakları şunlardır: 

• Ticari ve açık kaynaklı tehdit istihbarat servisleri
• Güvenlik üreticileri ve araştırmacıları
• Zararlı yazılım sandbox sistemleri
• Zararlı yazılım veritabanları

Toplam 5.388.946 işlemin elde edildiği bu dosyalardan zararlı yazılım başına ortalama 11 zararlı aksiyon tespit edilmiştir. Bu aksiyonlar daha sonra MITRE ATT&CK teknikleriyle eşleştirimişi ve zararlı yazılım başına ortalama 9 atak tekni kullanıldığı ortaya çıkmıştır.

Picus Labs araştırmacıları, Red Report 2023 Top Ten’i derlemek için her bir tekniği kullanan zararlı dosya sayısını tespit etti. Ardından, veri kümesinde bu tekniği kullanan zararlı yazılımların yüzdesini hesapladı. Örneğin, T1059 Kod ve Komut Dosyası Yorumlayıcısı tekniği, analiz edilen 507.912 zararlı dosyanın 159.196’sı (%31) tarafından kullanıldı.

Kaynak: (BYZHA) – Beyaz Haber Ajansı