Siber güvenlikte, “Living-off-the-land” (LotL) saldırılarının tespiti giderek zorlaşıyor. Bu saldırılar, harici kötü amaçlı yazılımlara güvenmek yerine PowerShell, WMI veya Office makroları gibi meşru sistem araçlarını kullanıyor ve saldırganların bir ağ içinde gizlice hareket etmesini sağlıyor.
Siber güvenlik dünyasında “Living-off-the-land” (LotL) saldırıları, giderek artan bir endişe kaynağı haline geliyor. Bu saldırı türü, siber suçluların mevcut sistem araçlarını kullanarak hedefe saldırmalarını ve ağlarda fark edilmeden dolaşmalarını sağlıyor. Hali hazırda bulunan mevcut sistemler, normal işleyişin bir parçası olarak kabul edildiğinden tespit edilme olasılığı da büyük oranda azalıyor. Böylelikle hedef sistemde uzun süre kalabilme imkanı doğuyor. Sistem üzerinde kontrol sağlamak, verilerin çalınması ve itibar zedelenmesi gibi birçok amacı olabilen bu saldırı, hedefe sistem içerisindeki kaynakları kullanarak ulaştığından şüphe oluşturmuyor. WatchGuard Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez, siber güvenlik alanında başarı elde etmek için Living-off-the-land saldırılarının yaygın tekniklerini ve korunma yollarını açıklarken bu saldırılara karşı daima hazırlıklı olunması ve proaktif savunma stratejileri geliştirmesi gerektiğini vurguluyor.
LotL Saldırılarındaki Yaygın Teknikler Neler?
- PowerShell: Sistem yöneticileri tarafından aktif bir şekilde kullanılan ve Windows sistemleri için güçlü bir komut satırı olan PowerShell, siber saldırganlar tarafından kötü amaçlı komut dosyalarını indirmek ve çalıştırmak, uzak bağlantılar kurmak veya sistem ayarlarını belirgin izler bırakmadan değiştirmek için kullanılır.
- WMI: Windows işletim sistemleri için bir yönetim altyapısı olan WMI, sistem bilgilerini toplamak ve yönetim görevlerini yerine getirmek için kullanılır. Kullanıcı erişimi olmaksızın uzaktan komutları yürütmek, zayıf noktaları belirlemek için sistem verilerini toplamak veya sistemde kalıcılığı sağlamak için kullanılır.
- Uzaktan Yönetim Araçları: PsExec gibi araçlar, kötü amaçlı komutları uzaktan yürüterek hedef sistem üzerinde değişiklik yapmak için yeniden kullanılabilir.
- Office Makroları: Office belgelerine yerleştirilen kötü amaçlı makrolar, açıldığında kodu çalıştırarak kullanıcı güvenini suistimal eder ve sistemlere sızabilir.