Beyaz Şapka Ağustos 2017 - Page 10

Osman KARAN osman.karan@nebulabilisim.com.tr SOREBRECT, saldırgandan yeni komutları beklemektedir. 6. Sadece lokal makine üzerinde dosyaları şifrelemekle kalmaz ağ paylaşım- larına da bulaşır. Kullanılan kimlik hesabı yetkiye sahipse şifrelemeler buralarda da gerçekleşir. 7. SOREBRECT, yaptığı aktiviteleri dosyasız yaparak gizli kalması yetmezmiş gibi wevtutil.exe ile sistem iz kayıtlarını ve shadow kopyalarını siler. 8. PSEXEC, hem dosyasız hem de kod enjeksiyonunu gerçekleştirmesi ile atağın başlangıç noktası haline gelmiştir. İmza Tabansız Uç Nokta Önleyici Sistemler SOREBRECT’in psexec üzerinden zararlı kod enjeksiyonu sadece bir fidye zararlı örneği. Günümüzde dosyasız atakların memory veya register üzerinde çalışması, Powershell üzerinden komut koşturması, makroları kullanması veya remote shell ile kodları uzaktan çalıştırması geleneksel koruma ve önleme sis- temlerini çok rahat aşabilmektedir. Çünkü geleneksel AV koruması bilinen za- rarlıların imzalarına bakarak bir koruma katmanı sağlar. Yani dosyalar ile ilgile- nir. Yine bir katman olarak ağ katmanında konumlandırılan sandbox sistemleri bilinmeyen zararlılar için dinamik ve statik analize yoğunlaştığından dosyasız 10