Ortaya çıkan tehditlerin önüne geçmek, en son güvenlik açıklarına tepki vermekten daha fazlasını gerektirir. Sağlam güvenliği sürdürmenin temel stratejilerinden biri, gelecekteki eğilimleri öngören tespit yetenekleri tasarlamaktır. InQuest'in FileTAC ve MailTAC tekliflerinin temel parçalarından biri, eski kurallar yeni tehditleri tespit ettiğinde genellikle kalıcı değerlerini kanıtlayan sağlam bir kötü amaçlı dosya imzaları havuzudur. Bu ay, kötü amaçlı yazılım tespitini geleceğe hazırlamanın önemini ve proaktif threat intelligence'un kritik rolünü vurgulamak istiyoruz.
Geleceğe Hazırlama
Geleceğe hazırlama, gelişen tehditleri öngören ve bunlara uyum sağlayan esnek tespit yöntemleri ve sistemleri tasarlamayı içerir. Bu proaktif yaklaşım çeşitli avantajlar sunar:
- Uzun Vadeli Etkililik: İyi hazırlanmış tespit kuralları, yeni istismar ve kötü amaçlı yazılım varyasyonlarına karşı koruma sağlamaya devam ederek sürekli güncelleme ihtiyacını azaltır.
- Kaynak Verimliliği: Güçlü tespit yeteneklerini koruyarak, kuruluşlar eski kuralları sürekli olarak gözden geçirmeden yeni tehditlere odaklanarak kaynakları daha etkili bir şekilde tahsis edebilirler.
- Proaktif Güvenlik Duruşu: Geleceğe yönelik algılama önlemleri, çeşitli tehditlere karşı tutarlı koruma sağlayarak daha güçlü bir genel güvenlik duruşuna katkıda bulunur.
İyi tasarlanmış bir YARA kuralları sistemi bu konsepte harika bir örnektir. YARA kuralları, örüntü eşleştirmeye dayalı olarak kötü amaçlı yazılımları ve diğer dosya türlerini tanımlamak ve sınıflandırmak için güçlü bir araçtır. Bu kurallar son derece uyarlanabilir ve belirli tehditleri tespit etmek için uyarlanabilir. Bu konuda mükemmel olan bir dizi halka açık topluluk YARA kural koleksiyonu mevcuttur. Ancak yüksek kaliteli bir tespit imzasının gerçek güçlü yanlarından biri, yeni tehditler veya mevcut tehditlerin yeni varyasyonları ortaya çıksa bile zaman içinde etkili kalabilmesidir. Eski bir YARA kuralı yeni bir siber güvenlik tehdidi tespit ettiğinde, iyi hazırlanmış tespit önlemlerinin öngörüsünü ve etkinliğini vurgular.
Bu, InQuest' in derinlemesine tespit dediğimiz konuya ilişkin yayınlar ve tehdit dizisi analizi şeklinde yapılandırılmış tehdit bağlamını nasıl gerçekleştirdiğimize dair genel bir bakış ile ayrıntılı olarak odaklandığı bir alandır. Tespit mühendisleri bu metodolojileri kullanarak sağlam, esnek ve tehdit ortamındaki gelişmelere ileriye dönük uygulanabilirlik sunan bir tespit karşı önlemleri kütüphanesi oluşturabilirler.
Threat Intelligence Araştırmasının Önemi
Sağlam siber threat intelligence geleceğe dönük kötü amaçlı yazılım tespitinin temel taşıdır. Davranışlarını, tekniklerini ve eğilimlerini anlamak için mevcut ve yeni ortaya çıkan tehdit aktörlerini analiz etmeyi içerir. Ayrıca, geçmiş tehdit araştırmalarından elde edilen deneyim ve derslere dayanan içgörüleri birleştirerek, eğilimlerin ve gelişmelerin daha geniş bir şekilde anlaşılmasını destekleyebilecek bir zaman çizelgesi sağlamaya yardımcı olur. Bu araştırma hem bilinçli kural oluşturma hem de proaktif savunma için kritik öneme sahiptir.
Bilgilendirilmiş Kural Oluşturma
Siber güvenlik uzmanları, en son tehdit ortamını anlayarak gelecekteki saldırı vektörlerini ve kötü amaçlı yazılım varyantlarını öngören imzalar oluşturabilir. InQuest'teki araştırmacılarımız CVE-2023-36884 için karşı önlemler geliştirirken tam olarak bu kullanım durumuyla ilgilendi. Bunun için örnek bir hash 3a3138c5add59d2172ad33bc6761f2f82ba344f3d03a2269c623f22c1a35df97'dir.
CVE-2023-36884, RomCom olarak bilinen bir tehdit grubu tarafından suç yazılımı alanında çift odaklı operasyonlar için ve tarafından casusluk ve kimlik bilgilerine erişim amaçları içinUkrayna ve NATO ile uyumlu kurumlarıhedef alarak Rus stratejik çıkarlarına hizmet etmek için istismar edilen bir sıfır gün güvenlik açığıydı. RomCom grubu Storm-0978, Hawker, Tropical Scorpius, UAC-0132, UAC-0168, Void Rabisu ve UNC4895 ile çeşitli derecelerde örtüşmektedir.
Bu istismarın çalışma şekli bazı yönlerden 2017'deki eski bir güvenlik açığına(CVE-2017-0199) benzemektedir. Bir Microsoft Word belgesinde, orijinal dosya açıldığında gömülü veya uzak bir OLE nesnesi sessizce yüklenebilir. Bu özellik, Office belgelerinin, saldırganların kaçamaklı çok aşamalı istismarlar üretmek için kullandıkları keyfi iç içe geçmiş içerik için taşıyıcı olmasını sağlar. Bu özel durumda, kötü amaçlı yazılım yükü "afchunk.rtf" etiketli gömülü bir RTF belgesinin içinde bulunabilir. Bu RTF'deki bir nesnenin içinde, bu istismar, sabit kodlanmış bir URL'den ek bir yük indirmek için CVE-2017-0199 istismarlarında da görülen mevcut tekniği kullanır. URL'ye bir SMB paylaşımı şeklinde erişildiğinden, Windows'un uzak ağ paylaşımlarına verdiği doğal güveni kötüye kullanır.
Bu istismarın altında yatan yapı CVE-2017-0199'a benzediğinden, ekibimiz bu yeni güvenlik açığının (CVE-2023-36884) bazı eski tespit imzalarımızı tetiklediğini tespit etti. Belirttiğimiz örtüşmeler, temel güvenlik açıkları tam olarak ilişkili olmasa bile, istismarların nasıl hazırlandığının yapısal yönlerinde ortaya çıktı.
Bu vakadan ilginç bir ders çıkarabiliriz - bazı tespit kuralları, yeterince geniş bir şekilde tasarlandığında, zaman içinde faydalı olabilir, hatta eski tekniklere dayalı yeni sıfır günleri tespit edebilir.
Proaktif Savunma
Sürekli threat intelligence araştırması, proaktif bir savunma stratejisi sağlayarak potansiyel tehditleri zarar vermeden önce tespit eder ve hafifletir. Bu kavram, InQuest'in threat intelligence ekibi tarafından geçtiğimiz ay Microsoft URL dosyalarındaki(CVE-2024-38112) bir MHTML güvenlik açığını tespit etmek için imzalar geliştirirken hayata geçirildi.
Bu imzayı geliştirirken araştırmacılarımız, bir Microsoft URL dosyasında kullanılan kötü amaçlı URL'nin mutlaka standart bir HTTP tabanlı web bağlantısı olması gerekmeyebileceğini hatırladılar. Mevcut belgelerdeki hiçbir şey saldırganların bu özel istismarda yerel dosya yollarını kullandığını göstermese de, analistimizin sezgileri saldırının varyasyonlarının mümkün olabileceğini düşündürdü. InQuest'in güvenlik özelliği atlama istismarlarında kullanılan internet kısayol dosyaları ( URL dosyaları) ile ilgili önceki araştırmasına dayanarak, Windows'taki çok sayıda alt sistemin, dosya:// URL öneki kullanıldığında SMB, WebDAV veya potansiyel olarak diğer protokoller gibi alternatif medya kaynakları üzerinden erişilen dosyalara koruma uygulanmasındaki kusurlardan etkilenebileceği açıktır. Bu durum, Windows'ta genellikle dahili ağ ortamlarında kullanılan daha güvenilir bölgeler olarak kabul edilen kaynaklardan gelen dosyalara verilen doğal güvenden kaynaklanıyor gibi görünmektedir. Aslında, bu temanın varyasyonları yakın zamanda ZDI'ın CVE-2024-38213 analizinde bir kez daha ele alınmış ve bu tür güvenlik açıklarına karşı alınacak önlemlerin hemen göze çarpandan daha geniş bir girdi kümesini dikkate alması gerektiğini açıkça ortaya koymuştur. Sonuç olarak, bu açık için oluşturduğumuz tespit imzası, gelecekte bu tür varyasyonları öngörmek üzere tasarlanmıştır.
Son Düşünceler
Bu iki örnek de ana bir temayı vurgulamaktadır: threat intelligence sağlam, geleceğe dönük tespit yeteneklerinin temel taşıdır. Elle hazırlanmış tespit kuralları, genellikle yeni tehditleri eski, iyi düşünülmüş imzalarla tespit ederek bu kabiliyeti örneklendirir. Derinlemesine tespit ve sağlam tehdit sıralama analizi göz önünde bulundurularak hazırlanan tespit imzaları, tehdit ortamındaki gelişmeler karşısında daha dirençli olma eğilimindedir. Zaman içindeki bu etkinlik, kural oluşturmada öngörünün önemini ve threat intelligence araştırmasının kritik rolünü vurgulamaktadır.
Geleceğe yönelik önlemlere odaklanarak ve threat intelligence adresine yatırım yaparak kuruluşlar, tehdit ortamı gelişmeye devam ettikçe daha dayanıklı bir güvenlik duruşu sergileyebilirler.
InQuest kısa süre önce OPSWAT tarafından satın alındı. Duyuruyu buradan okuyabilirsiniz: OPSWAT Federal Pazara Giriş Stratejisi, Ağ Tespiti ve Tehdit Tespit Yeteneklerini Güçlendiren Inquest'i Satın Aldı
Yazar: Darren Spruell, Hunter Headapohl
