Güvenlik İhlali ve Saldırı Simülasyonu (Breach and Attack Simulation – BAS) teknolojisinin öncüsü Picus Security, siber saldırganların davranışlarını kapsamlı bir şekilde analiz eden ve son bir yılda en yaygın olarak görülen 10 saldırı tekniğini öne çıkaran Red Report 2021 araştırmasını yayınladı.
Picus Security, araştırmayı hazırlarken 200 binin üzerinde zararlı yazılım örneğini analiz etti. Araştırmacılar, saldırı taktikleri ve teknikleri hakkında yaygın olarak kullanılan bir model olan MITRE ATT&CK çerçevesiyle eşleştirilen toplamda 2,2 milyon kötü amaçlı eylemi inceledi.
En çok kullanılan ATT&CK tekniklerinin yer aldığı “Red Report 2021 Top 10” listesi, siber saldırganların son bir yıl içinde fidye yazılımına yönelimlerini ortaya koyuyor. Çalışma, 2021 yılında zararlı yazılım varyantlarının hedeflerinin verilerini şifreleme olasılığının daha yüksek olmasının yanı sıra daha karmaşıklaştıklarını ve güvenlik sistemlerinden daha iyi kaçınabildiklerini, dolayısıyla tespit edilmelerinin ve önlenmelerinin daha da zorlaştığını gösteriyor.
Red Report 2021 çalışmasının temel bulguları arasında şunlar yer alıyor:
- Zararlı yazılımlar gün geçtikçe daha da gelişiyor. Picus’a göre 2020 yılında zararlı yazılımlar ortalama 9 kötü amaçlı eylem sergilerken, bu rakam 2021 yılında 11 eyleme yükseldi.
- 2021 yılında bir hedefin verilerini şifrelemek üzere tasarlanmış zararlı yazılımlarda önemli bir artış görüldü. Etki için Veri Şifreleme (Data Encrypted for Impact) ATT&CK tekniği ilk kez Red Report Top 10 listesine girerken her beş zararlı yazılım türevinden birinin artık dosyaları şifreleyebildiği belirlendi.
- Picus tarafından incelenen ilk 10 teknikten beşi ATT&CK’in “Savunmadan Kaçınma” (Defense Evasion) taktiği altında kategorize edildi. Zararlı yazılımların üçte ikisi, bu türde en az bir savunmadan kaçınma tekniği içeriyor. Bu bulgu, saldırganların tespit edilmekten kaçınmaya olan kararlılıklarının devam ettiğini gösteriyor.
- Çalışma, analiz edilen zararlı yazılımların yüzde 5’inin sanallaştırılma ya da analiz ortamlarından kaçınma taktikleri kullandığını gösteriyor. Bu zararlı yazılım türevleri, tespit ve analizden kaçınmak için sanal makine veya analiz ortamlarında davranışlarını değiştirebiliyor.
- “Komut ve Betik Yorumlayıcı” (Command and Scripting Interpreter), Picus tarafından gözlemlenen ve analiz edilen tüm zararlı yazılım örneklerinin dörtte birinin kullandığı en yaygın ATT&CK tekniği olarak öne çıkıyor. Elde edilen bu sonuç, saldırganların komutlarını yürütmek için özel araçlar oluşturmak yerine PowerShell gibi meşru uygulamaları nasıl kötüye kullandıklarını gösteriyor.
Picus; ticari ve açık kaynaklı tehdit istihbarat hizmetleri, güvenlik üreticileri, araştırmacılar, analiz ortamları (sandbox) ve forumlar dahil olmak üzere çeşitli kaynaklardan toplanan yüz binlerce gerçek dünya tehdit örneği üzerinde ayrıntılı analizler gerçekleştirdi.
Picus Security’nin kurucu ortağı ve Picus Labs Başkan Yardımcısı Dr. Süleyman Özarslan, “Son dönemde varyant kelimesi birçok insanda panik yaratan bir kelime haline geldi, ancak güvenlik ekipleri yeni zararlı yazılım varyantlarıyla ilgili tehditlerden endişe duymaya uzun yıllardır devam ediyor. “Red Report 2021 Top 10” Listesi, fidye yazılımlarının yayılışını ve saldırganların hedeflerine ulaşmak için savunma sistemlerinden kaçınmak ve diğer sofistike teknikleri kullanmak dahil olmak üzere yaklaşımlarını ne şekilde değiştirdiklerini gösteriyor” dedi.
Özarslan sözlerine şöyle devam etti: “Kuruluşlar, en yaygın saldırı tekniklerine karşı ne derece hazır olduklarını yalnızca tehdit merkezli bir yaklaşım benimseyerek tam olarak anlayabilir ve saldırıları sürekli önlemek, tespit etmek ve müdahale etmek için gereken yetenekleri geliştirebilir.”
Picus Labs, Ekim 2020 – Ekim 2021 arasında 231.507 dosyayı analiz etti. Bu dosyaların 204.954’ü (%89) zararlı yazılım olarak kategorize edildi. Bu zararlı yazılımların kullandığı 2.197.025 eylem tespit edildi ve 1.871.682 MITRE ATT&CK tekniği ile eşleştirildi. Picus Labs araştırmacıları, “Red Report 2021 Top 10” Listesini hazırlamak için veri kümesindeki her bir tekniği kaç zararlı yazılımın kullandığını belirledi.
Picus Red Report 2021 İlk 10 Listesi şu şekilde:
- T1059 Komut ve Betik Yorumlayıcısı (Command and Script Interpreter)
Zararlı yazılımların %26’sı kullanıyor
Komutları, betikleri veya dosyaları çalıştırmak için komut ve betik yorumlayıcılarının kötüye kullanılması. Örneğin, Unix Shell, Windows Command Shell ve PowerShell.
- T1055 Süreç Enjeksiyonu (Process Injection)
Zararlı yazılımların %21’inde kullanılıyor
İşlemlere dayalı savunmalardan kaçınmak ve/veya ayrıcalıkları yükseltmek için işlemlere kod eklenmesi. İşlem enjeksiyonu yoluyla yürütme, meşru bir işlem arkasında maskelendiğinden güvenlik kontrollerinden kaçınabilmektedir.
- T1486 Etki için Veri Şifreleme (Data Encrypted for Impact)
Zararlı yazılımların %19’unda kullanılıyor
Veri, sistem ve ağ kaynaklarına erişimi kesmek için bir hedefin verilerinin şifrelenmesi. Fidye zararlı yazılımı operatörleri, şifre çözme karşılığında kurbanlardan para almak için bu tekniği kullanmaktadır.
- T1218 İmzalı Dosya ile Vekil Yürütme (Signed Binary Proxy Execution)
Zararlı yazılımların %16’sında kullanılıyor
Süreç ve/veya imza tabanlı savunmaları atlamak için güvenilir dijital sertifikaların kullanılması.
- T1003 İşletim Sistemi Kimlik Bilgileri Dökümü (OS Credential Dumping)
Zararlı yazılımların %24’ünde kullanılıyor
Hesaplarda oturum açmak için gerekli olan kullanıcı adı ve parola gibi kimlik bilgilerinin dökümünün alınması. Kimlik bilgileri, daha sonra diğer sistemlere geçmek (lateral movement) ve erişimi kısıtlanmış bilgilere erişmek için kullanılabilmektedir.
- T1027 Karmaşıklaştırılmış Dosyalar veya Bilgiler (Obfuscated Files or Information)
Zararlı yazılımların %14’ünde kullanılıyor
Bir dosyayı, içeriğini şifreleyerek, kodlayarak, parolayla koruyarak veya başka bir şekilde karmaşıklaştırarak keşfedilmesini veya analiz edilmesini zor hale getirme uygulaması.
- T1053 Zamanlanmış Görev veya İş (Scheduled Task/Job)
Zararlı yazılımların %10’unda kullanılıyor
Kötü amaçlı kodların bir defalık veya tekrarlı yürütülmesini kolaylaştırmak için görev zamanlayıcı işlevinin kötüye kullanılması. Örneğin sistem başlangıcında veya rutin aralıklarla tekrarlanması.
- T1036 Maskelemek (Masquerading)
Zararlı yazılımların %9’unda kullanılıyor
Zararlı yazılımların sistemde bıraktığı kalıntıların meşru veya tehlikesiz görünmesini sağlamak için manipüle edilmesi. Örneğin, güvenlik kontrolleri ve kullanıcı gözleminden kaçınmak için bir nesnenin adının, konumunun veya meta verilerinin değiştirilmesi.
- T1082 Sistem Bilgilerini Keşfetme (System Information Discovery)
Zararlı yazılımların %8’inde kullanılıyor
İşletim sistemi ve donanımların sürüm, yama, hizmet paketi ve mimarisine dair ayrıntılı bilgi edinme girişimleri.
- T1497 Sanallaştırma ve Analiz Ortamlarından Kaçınma (Virtualization/Sandbox Evasion)
Zararlı yazılımların yüzde 6’sında kullanılıyor
Sanallaştırma ve analiz ortamlarının zararlı yazılımlar tarafından tespit edilmesi ve atlatılması. Zararlı yazılım, bir sanal makine veya analiz ortamındaysa, temel işlevlerini gizlemek için zararlı davranışlarını gizlemektedir.
