Beyaz Şapka Ağustos 2017 - Page 8

Osman KARAN osman.karan@nebulabilisim.com.tr Aslında yeni bir atak tipi değil sadece daha genel geçer, bir anatomi bünyesi içerisinde geliyor olması. Yani daha odaklı ve ısrarcı tehditlerin vazgeçilmez aracı olarak kullanılmasıdır. Farklı bir deyişle bir dizi Taktik, Teknik ve Prosedü- rün izlenmesidir. Saldırganın temel motivasyonu olan bilgisayar sistemini ele geçirme eylemi bu tip ataklar ile çok daha kullanılabilir hale gelmiştir. Bir PE dosyası kullanılmaz ve disk sürücünde bir dosyanın kopyalanması olmaz. Kul- lanılan araçlar exploit ve exploit kitlerdir. Temel çalışma eylemi ise işletim siste- minin doğal enstrümanı olan Powershell, Registry veya WMI gibi araçların kul- lanılması ve bunların üzerinden yetkili ve meşru uygulamaların açıklıklarının istismar edilmesidir. Zararlı kodlar bu araçlar üzerinden enjekte edilip çalıştırılır. Keşif (recon.), komut ve kontrol aktivitesi, yetki eskalasyonu, ısrarcı bağlantı kurma gibi atak adımlarında dosyasız atakların kullanıldığı görülmüştür. Özetle saldırgan; Görünmezlik; birçok güvenlik sisteminden tespit edilemeyerek bypass olabilir. Yetki kazanımı, meşru uygulamanın zafiyetini istismar ederek yetki ele ge- çirilir. Israrcı olma, uzun bir zaman tespit edilemeyerek sistem üzerinde kalabilir. Çünkü herhangi bir dosya üzerinden değil aktivite eylem üzerinde koşmakta- dır. Çok basit bir dosyasız atak örneğini aşağıda paylaşıyorum. 1. Kullanıcı Firefox kullanarak bir web sayfasını ziyaret eder. Muhtemel bir spam mesaj ile bir web sayfasına yönlendirilir. 2. Sayfa Flash kurar ve çalıştırır. Onlarca zafiyete sebebiyet veren Flash bir- çok atak vektörünün başlangıç noktasıdır. 8