Windows Sistemlere Yönelik Saldırıların Wazuh Kullanılarak Tespiti -3
Bu yazımızda Windows sistemleri hedef alan fidye yazılımlarının davranışlarını, kullandıkları komutları, host tabanlı saldırı tespit sistemi olan Wazuh kullanılarak bu zararlı yazılımların kullandığı komutların nasıl tespit edileceğinden ve bu zararlı yazılıma dair hangi önlemlerin alınması gerektiğinden bahsedeceğiz.
Wazuh: Tehdit algılama, bütünlük izleme, olay müdahale ve uyumluluk için ücretsiz, açık kaynaklı bir host tabanlı saldırı tespit sistemidir. Wazuh agent’ları ağdaki endpointlere kurulduğunda bu endpointlerde (host) neler olup bittiğine dair görünürlük elde edilmektedir. Linux, Windows ve MacOS işletim sistemlerinde çalışabilmektedir.
NOT: Sysmon’un nasıl konfigüre edilmesi gerektiğine, Wazuh Manager’a ilgili kural veya kuralların eklenmesine, Wazuh ajan konfigürasyon dosyasında nasıl bir konfigürasyon yapılması gerektiğine dair detaylar için bu serinin ilk iki yazısı olan “Windows Sistemlere Yönelik Saldırıların Wazuh Kullanılarak Tespiti -1” ve "Windows Sistemlere Yönelik Saldırıların Wazuh Kullanılarak Tespiti -2 "yazısındaki ilgili bölümlerdeki adımlar uygulanmalıdır.
1. Fidye Yazılımı (Ransomware) Nedir?
Fidye yazılımları bulaştığı bilişim sistemleri üzerinde dosyaları erişimi engelleyerek kullanıcılardan fidye talep eden zararlı yazılımlardır. Bu yazılımlar, kurbanın cihazı (bilgisayar, akıllı telefon, giyilebilir cihazlar vb.) üzerinde gizlice kendini yükleyen veya kurbanın verisini rehin tutan kriptoviroloji ile kriptoviral alıkoyma saldırısı başlatan ya da fidye ödenene kadar kurbanın verisini yayınlamakla tehdit eden bir kriptoviroloji saldırısı başlatan bir bilgisayar zararlı yazılımıdır. Basit bir fidye virüsü, bilgili bir kişinin geriye çevirmesi zor olan bir şekilde sistemi kilitler ve kilidi açmak için ödeme isteyen bir mesaj gösterir. Daha da gelişmiş zararlı yazılımlar, kurbanın dosyalarını şifreler, bunları erişilemez kılar ve bunların şifresini çözmek için bir fidyenin ödenmesini talep eder.
2. Fidye Yazılımı Davranışları
Birçok fidye yazılımı ailesi, Word belgesi, PDF veya Excel gibi bir ortama e-postayla gönderilen kötü amaçlı bir belge aracılığıyla bir sisteme tanıtılır. Bu e-posta eki ya fidye yazılımının kendisidir ya da zararlı yazılımı alıp çalıştıracak bir indiricidir. Birçok örnek, sistemi veri şifrelemeden önce hazırlar. Bu, standart yardımcı programları kullanarak çeşitli Windows hizmetlerinin ve işlemlerinin kaldırılmasını veya devre dışı bırakılmasını içerebilir.
Fidye yazılımları, doğal olarak depolanan verilerin yedeklerini, genellikle Volume Shadow Copy aracılığıyla silmek için neredeyse evrensel olarak basit Windows tekniklerini uygular. Microsoft Windows, bu verileri yönetmek ve aynı zamanda kaldırmak için araçlar sağlar. Bu genellikle aşağıdaki komutlar gibi VSSAdmin aracı ve WMI kullanılarak yapılır:
2.1 Fidye Yazılımlarının Sıklıkla Kullandığı Komutlar
vssadmin Delete Shadows /All /Quiet: vssadmin.exe, mevcut shadow volume copy yedeklerini ve kurulu tüm shadow copy yazarlarını ve sağlayıcılarını görüntüleyebilen yerel bir Windows aracıdır.
İlgili komut, veri kurtarılmasını engellemek için shadow-copy’leri siler. (Shadow copy, Microsoft Windows'da bulunan ve kullanımdayken bile bilgisayar dosyalarının veya birimlerinin yedek kopyalarını veya anlık görüntülerini oluşturabilen bir teknolojidir.)
Komutun Wazuh tarafında çıktısı ise aşağıdaki gibidir. Çalıştırılan komutu, komutun hangi uç noktada çalıştırıldığını, hangi kullanıcının komutu çalıştırdığını görmek mümkündür.
WMIC shadowcopy delete /nointeractive: wmic.exe, Windows tabanlı işletim sistemlerinde yönetim verileri ve işlemleri için altyapı olan Windows Yönetim Araçları'na (WMI) erişmek için bir komut satırı yardımcı programıdır. Uzak bilgisayarlarda yönetim görevlerini otomatikleştirmek için WMI komut dosyaları veya uygulamaları yazabilirsiniz.
Fidye yazılımları, shadow copy’leri silmek için bu WMIC komutunu kullanmaktadırlar.
Komutun Wazuh tarafında çıktısı ise aşağıdaki gibidir. Çalıştırılan komutu, komutun hangi uç noktada çalıştırıldığını, hangi kullanıcının komutu çalıştırdığını görmek mümkündür.
wbadmin delete catalog -quiet: Yedekleme kataloğunu silmek için wbadmin.exe'nin kullanımını tanımlar. Fidye yazılımı ve diğer kötü amaçlı yazılımlar, sistem kurtarmayı önlemek için bunu yapabilir.
Komutun Wazuh tarafında çıktısı ise aşağıdaki gibidir. Çalıştırılan komutu, komutun hangi uç noktada çalıştırıldığını, hangi kullanıcının komutu çalıştırdığını görmek mümkündür.
cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures: bcdedit /set komutu, Windows önyükleme yapılandırma veri deposunda (BCD) bir önyükleme girişi seçeneği değeri ayarlar. Çekirdek hata ayıklayıcı ayarları, bellek seçenekleri veya test imzalı çekirdek modu kodunu etkinleştiren veya alternatif donanım soyutlama katmanı (HAL) ve çekirdek dosyalarını yükleyen seçenekler gibi belirli önyükleme girişi öğelerini yapılandırmak için bcdedit /set komutunu kullanılır.
İlgili komut, boot hatalarını yok sayar.
Komutun Wazuh tarafında çıktısı ise aşağıdaki gibidir. Çalıştırılan komutu, komutun hangi uç noktada çalıştırıldığını, hangi kullanıcının komutu çalıştırdığını görmek mümkündür.
cmd.exe /c bcdedit /set {default} recoveryenabled no: İlgili komut, veri kurtarmasını engellemek için Win10 kurtarmasını etkisizleştirir.
Komutun Wazuh tarafında çıktısı ise aşağıdaki gibidir. Çalıştırılan komutu, komutun hangi uç noktada çalıştırıldığını, hangi kullanıcının komutu çalıştırdığını görmek mümkündür.
Savunma sistemleri devre dışı bırakıldığında ve yedekleri geri yükleme yeteneği kaldırıldığında, fidye yazılımı dosyaları şifrelemek için sistematik olarak dosya sisteminde yürüyecektir. Birçoğunun, belgeler ve resimler gibi hedefledikleri sabit kodlanmış bir dosya uzantısı kümesi vardır. Öncelikle, Windows'u çökertebilecek veya bozabilecek dosyaları şifrelemekten kaçınmaya çalışırlar. Zararlı yazılım, şifrelemeye başlamak için her dosyayı ve klasörü sırayla alfabetik sırayla açmak için standart programlama stillerini kullanır. Şifreleme yöntemlerinde farklılıklar bulunmaktadır.
Fidye notlarının da genellikle birkaç belirli kalıbı vardır. Bazı fidye yazılımları, masaüstü arka planına ayarlanmış bir resmi çıkarır veya indirir. Kullanıcıların e-posta ve BitCoin (BTC) adreslerini el yazısıyla yazmalarını gerektirdiğinden bu genellikle nadirdir ve genellikle yazım hatalarına neden olur. Bazıları, etkilenen kullanıcının masaüstüne bir fidye metin belgesi bırakırken, çoğu bu notları bilgisayardaki her bir klasöre yerleştirir.
3. Fidye Yazılımlarının Tespiti
Güvenlik ekipleri, kötü amaçlı yazılım tespit teknikleri söz konusu olduğunda birçok seçeneğe sahiptir. Her teknik üç türden birine girer:
- İmza Tabanlı Metodlar
- Davranış Tabanlı Metodlar
- Deception
İmza Tabanlı Tespit: İmza tabanlı fidye yazılımı algılama, bir fidye yazılımı örnek hashini bilinen imzalarla karşılaştırır. Bir ortamdaki dosyaların hızlı statik analizini sağlar. Güvenlik platformları ve antivirüs yazılımı, yetkili bir yürütülebilir dosyaya karşı fidye yazılımı olma olasılığını belirlemek için yürütülebilir bir dosyadan veri yakalayabilir. Çoğu virüsten koruma yazılımı, kötü amaçlı yazılım taramasında bu adımı atar.
Güvenlik ekipleri, bir dosyanın hashini almak için Windows PowerShell cmdlet Get-FileHash'i veya VirusTotal gibi açık kaynaklı istihbarat araçlarını da kullanabilir. Mevcut hash algoritmalarıyla, güvenlik uzmanları bir dosyanın hash değerini bilinen zararlı yazılım örnekleriyle karşılaştırabilir.
İmza tabanlı fidye yazılımı algılama teknikleri, ilk savunma düzeyidir. Bilinen tehditleri bulmada faydalı olsa da, imza tabanlı yöntemler daha yeni kötü amaçlı yazılımları tanımlamaya çalışır.
Saldırganlar, tespiti atlatmak için zararlı yazılım dosyalarını günceller. Bir dosyaya tek bir bayt eklemek, yeni bir hash oluşturarak zararlı yazılımın tespit edilebilirliğini azaltır.
Davranış Tabanlı Tespit: Yeni davranışları geçmiş verilere karşı inceleyen davranışa dayalı tespit yöntemlerini kullanan güvenlik uzmanları ve araçları, son davranışları ortalama davranışsal temel değerlerle karşılaştırarak tehdir göstergelerini (IoC) arar. Bunun 3 metodu vardır:
- Dosya Sistemi Değişimleri: Güvenlik ekipleri, dosya yeniden adlandırmalarının fazlalığı gibi anormal dosya yürütme işlemlerine bakmalıdır. Fidye yazılımı, yürütülmeden önce bir süre sistemlerde gizli kalabilir. Bu nedenle, güvenlik ekipleri, dosyaların numaralandırılması ve şifrelenmesinin yanı sıra, orijinal bir dosyadan daha büyük entropiye sahip bir dosyanın oluşturulmasına da bakmalıdır.
- Trafik Analizi: Güvenlik ekipleri, herhangi bir yazılımın dosya paylaşım sitelerine bağlanıp bağlanmadığı ve bu tür eylemlerin zamanı gibi anormallikler için trafiği incelemelidir. Ekipler ayrıca son zamanlarda trafik hacminin artıp artmadığını ve nereye gittiğini de kontrol etmelidir. Fidye yazılımı, komut ve kontrol talimatlarını almak ve şifre çözme anahtarlarını değiş tokuş etmek için tesis dışındaki sunuculara ağ bağlantısı gerektirir.
- API Çağrıları: Güvenlik ekiplerinin kullanabileceği üçüncü bir davranış tabanlı yöntem, API çağrılarını incelemektir. Dosyalar hangi komutları yürütüyor? Şüpheli var mı? Örneğin, casus yazılımlar ve tuş kaydediciler, bilgi yakalamak için GetWindowDC'yi kullanır. Veya bir sistemde bir debugger’ın etkin olup olmadığını görmek için IsDebuggerPresent'i kullanırlar. Başka bir fidye yazılımı hilesi, bir sistemin ne kadar süredir açık olduğunu görmek için GetTickCount'u kullanmaktır. Kısa bir süre, fidye yazılımının bir VM içinde olduğunu gösterebilir ve bu nedenle, tespiti önlemek için herhangi bir kötü amaçlı eylem yürütmez.
Deception (Aldatma) Tabanlı Tespit: Düşmanları aldatmak, üçüncü fidye yazılımı algılama tekniğidir. En yaygın örnek bir bal küpü oluşturmaktır. Bu dosya deposu veya sunucusu, saldırganlar için bir tuzak veya yemdir. Normal kullanıcılar bu sunucuya dokunmazlar, bu nedenle aktivitenin görüldüğü durumlar bir saldırıdır.
4. Fidye Yazılımlarına Yönelik Alınabilecek Önlemler
- Kural tabanlı uç nokta güvenliği teknolojilerinin kullanılması durumunda ilgili komutların tespitine dair kurallar bu ürünlere eklenmelidir.
- Dosya Bütünlüğü Kontrolü (File Integrity Checking) çözümleri kullanılabilir. Bu çözümler belirtilen dosyaların hash değerlerini bir veritabanına kaydeder, sizin belirlediğiniz frekansta bu dosyaların hash değerlerini karşılaştırır. Hash değerinde bir değişim olması durumunda alarm oluşturur. Bunun için açık kaynak çözüm olarak Wazuh’un File Integrity Monitoring (FIM) modülünden faydalanılabilir.
- Tor (The Onion Router) ağ geçitleri, fidye yazılımı tehditlerinin C&C sunucularıyla iletişim kurmasının birincil yollarından biridir. Bu nedenle, kritik kötü amaçlı işlemlerin geçmesini engellemeye yardımcı olabileceğinden, bilinen zararlı Tor IP adreslerini engelleyebilirsiniz.
- Fidye yazılımı aktörleri yeni teknikler geliştirmeye, yeni saldırılar başlatmaya ve yeni kripto kötü amaçlı yazılım türleri oluşturmaya devam ediyor. Bu gerçeğin ışığında, tehdit ortamında neler olup bittiğine ve aynı bölge veya sektördeki diğer kuruluşları hangi risklerin etkileyebileceğine ayak uydurmanın bir yolunu bulmanız gerekir. Bunun için tehdit istihbaratı servislerinden faydalanılmalıdır.
- Bilgisayarınızda şüpheli bir işlem görürseniz, web'i anında devre dışı bırakın. Bu teknik, özellikle saldırının erken tespiti noktasında etkilidir. Çoğu fidye yazılımı örneğinin, şifreleme rutinlerini tamamlamak için komuta ve kontrol (C&C) sunucularıyla bağlantı kurması gerekir. İnternet erişimi olmadan, fidye yazılımı enfekte olmuş bir cihazda boşta kalır. Böyle bir senaryo, herhangi bir verinin şifresini çözmenize gerek kalmadan zararlı programı enfekte olmuş bir bilgisayardan kaldırma yeteneği sağlar.
- Güçlü spam filtreleri kullanın ve kullanıcıların kimliğini doğrulayın. Sıkıştırılmış veya arşivlenmiş dosyaları tarama yeteneğinin yanı sıra, kimlik avı e-postalarının genel olarak kullanıcılara ulaşmasını engelleyebilecek güçlü spam filtrelerine ihtiyacınız var. Kötü niyetli kişilerin e-posta sahtekarlığı tekniklerini kullanmasını önlemek için Gönderici Politikası Çerçevesi (SPF), Etki Alanı İleti Kimlik Doğrulama Raporlaması ve Uygunluğu (DMARC) ve Etki Alanı Anahtarları Tanımlanmış Posta (DKIM) gibi teknolojileri de kullanmalısınız.
- Fidye yazılımları e-posta ekleri aracılığıyla da cihazınıza giriş sağlayabilir. Şüpheli görünen ekleri açmaktan kaçının. Bir e-postanın güvenilir olduğundan emin olmak için gönderene özellikle dikkat edin ve adresin doğru olup olmadığını kontrol edin.
- Spam mesajlarındaki ya da bilinmeyen web sitelerindeki bağlantılara tıklamaktan imtina edin. Zararlı bağlantılara tıklamanız halinde, bilgisayarınıza malware girmesine neden olabilecek otomatik bir indirme başlatılabilir.
- Nereden geldiklerini bilmiyorsanız, USB belleklerini veya diğer depolama ortamlarını asla bilgisayarınıza bağlamayın. Siber suçlular depolama ortamına sızmış ve birisini kullanmaya teşvik etmek için onu halka açık bir yere bırakmış olabilir.
- Programları ve işletim sistemlerini düzenli olarak güncellemek, kötü amaçlı yazılımlardan korunmanıza yardımcı olur. Güncellemeleri gerçekleştirirken, en son güvenlik yamalarından yararlandığınızdan emin olun. Bu, siber suçluların programlarınızdaki güvenlik açıklarından yararlanmasını zorlaştırır. Geçtiğimiz günlerde Conti Ransomware grubunun faydalandığı açıklıklar yayınlanmış, ilgili açıklıklara dair gereken yamaların uygulanması durumunda bu saldırılardan %90 oranında kurtulma durumunun olduğu gözlemlenmiştir.
- Fidye yazılımlarını indirme riskini en aza indirmek için, bilinmeyen web sitelerinden asla yazılım veya medya dosyaları indirmeyin. İndirmeler için doğrulanmış ve güvenilir siteleri tercih edin. Bu web siteleri güven mühürlerinden tanınabilir. Ziyaret ettiğiniz sayfanın tarayıcı adres çubuğunda "http" değil "https" yazdığından emin olun. Adres çubuğundaki bir kalkan veya kilit sembolü de sayfanın güvenli olduğunu gösterebilir.
- Herkese açık Wi-Fi ağlarını bilinçli kullanmak fidye yazılımlarına karşı akıllıca bir koruyucu önlemdir. Herkese açık bir Wi-Fi ağı kullanırken, bilgisayarınız saldırılara karşı daha savunmasızdır. Herkese açık bir Wi-Fi ağındayken hassas işlemler yapmayın veya güvenli bir VPN hizmeti kullanın.
- Düzenli olarak yedek alın ve yakın zamanlı yedeği farklı bir lokasyonda saklayın.
KAYNAKÇA
https://tr.wikipedia.org/wiki/Fidye_vir%C3%BCs%C3%BChttps://en.wikipedia.org/wiki/Shadow_Copy
https://www.barikat.com.tr/blog/locbit-ransomware
https://www.picussecurity.com/resource/blog/technique-to-delete-volume-shadow-copies-deviceiocontrol
https://www.elastic.co/guide/en/security/current/deleting-backup-catalogs-with-wbadmin.html
https://docs.microsoft.com/en-us/windows-hardware/drivers/devtest/bcdedit--set
https://www.kaspersky.com.tr/resource-center/threats/how-to-prevent-ransomware
https://www.zyxel.com/tr/tr/news/press_room_20180612_796922.shtml
https://www.techtarget.com/searchsecurity/feature/3-ransomware-detection-techniques-to-catch-an-attack
https://www.tripwire.com/state-of-security/security-data-protection/cyber-security/22-ransomware-prevention-tips/
0 Yorumlar