Getty Images / Aurich Lawson
Geçen yıl kuruluşlar, ağa bağlı cihazları hedefleyen kötü amaçlı yazılımları tespit etmek ve engellemek için nispeten yeni bir güvenlik koruması türü olan Uç Nokta Tespiti ve Yanıtı sağlayan ürünlere 2 milyar dolar harcadı. EDR’ler, genel olarak adlandırıldıkları gibi, kötü amaçlı yazılım algılamaya yönelik daha yeni bir yaklaşımı temsil eder. Daha geleneksel iki yöntemden biri olan statik analiz, bir dosyanın kendi DNA’sında şüpheli işaretleri arar. Daha yerleşik bir yöntem olan dinamik analiz, tam sistem erişimine izin vermeden önce güvenli olduğunu doğrulamak için ne yaptığını analiz etmek için güvenli bir “korumalı alan” içinde güvenilmeyen kodu çalıştırır.
2031 yılına kadar 18 milyar dolar gelir elde etmesi beklenen ve düzinelerce güvenlik şirketi tarafından satılan EDR’ler tamamen farklı bir yaklaşım benimsiyor. EDR’ler, kodun yapısını veya yürütülmesini önceden analiz etmek yerine, bir makine veya ağ içinde çalışırken kodun davranışını izler. Teoride, son 15 dakika içinde yüzlerce makinede yürütülen bir işlemin dosyaları toplu olarak şifrelediğini algılayarak devam eden bir fidye yazılımı saldırısını durdurabilir. Statik ve dinamik analizlerin aksine, EDR, bir makine veya ağ içindeki etkinlikler üzerinde gerçek zamanlı sekmeler tutmak için makine öğrenimini kullanan bir güvenlik görevlisine benzer.
Nohl ve Gimenez
EDR’den kaçınmayı kolaylaştırma
EDR’leri çevreleyen vızıltılara rağmen, yeni araştırmalar sağladıkları korumanın yetenekli kötü amaçlı yazılım geliştiricilerinin atlatmasının o kadar da zor olmadığını gösteriyor. Aslında, çalışmanın arkasındaki araştırmacılar, EDR’den kaçınmanın, büyük bir organizasyon ağının tipik enfeksiyonuna yalnızca bir haftalık ek geliştirme süresi eklediğini tahmin ediyor. Bunun nedeni, oldukça basit iki baypas tekniğinin, özellikle birleştirildiğinde, endüstride mevcut olan çoğu EDR’de işe yaradığı görülüyor.
Berlin merkezli SRLabs’in baş bilimcisi Karsten Nohl, bir e-postada “EDR kaçırma iyi belgelenmiştir, ancak bir bilimden çok bir zanaat olarak” yazdı. “Yeni olan, iyi bilinen birkaç tekniği bir araya getirmenin, test ettiğimiz tüm EDR’lerden kaçan kötü amaçlı yazılımlar sağladığına dair içgörüdür. Bu, bilgisayar korsanının EDR’den kaçınma çabalarını kolaylaştırmasına olanak tanır.”
Hem kötü amaçlı hem de iyi huylu uygulamalar, işletim sistemi çekirdeğiyle etkileşim kurmak için kod kitaplıkları kullanır. Bunu yapmak için kütüphaneler doğrudan çekirdeğe bir çağrı yapar. EDR’ler bu normal yürütme akışını keserek çalışır. Çekirdeği çağırmak yerine, kitaplık önce EDR’yi çağırır, bu daha sonra program ve davranışı hakkında bilgi toplar. Bu yürütme akışını kesmek için EDR’ler, “kancalar” olarak bilinen ek kodla kitaplıkların üzerine kısmen yazar.
Nohl ve diğer SRLabs araştırmacısı Jorge Gimenez, Symantec, SentinelOne ve Microsoft tarafından satılan ve yaygın olarak kullanılan üç EDR’yi test etti; bu, bir bütün olarak pazardaki teklifleri adil bir şekilde temsil ettiğine inandıkları bir örnekleme. Araştırmacıları şaşırtan bir şekilde, oldukça basit iki kaçınma tekniğinden biri veya her ikisi kullanılarak üçünün de atlandığını buldular.
Teknikler, EDR’lerin kullandığı kancaları hedefler. İlk yöntem kanca işlevi etrafında döner ve bunun yerine doğrudan çekirdek sistem çağrıları yapar. Test edilen üç EDR’nin tümüne karşı başarılı olmakla birlikte, bu kancadan kaçınma, bazı EDR’lerin şüphesini uyandırma potansiyeline sahiptir, bu nedenle kusursuz değildir.
Nohl ve Gimenez
İkinci teknik, bir dinamik bağlantı kitaplığı dosyasında uygulandığında, üç EDR’nin tümüne karşı da çalıştı. Kancaları tetiklememek için yalnızca kancalı işlevlerin parçalarını kullanmayı içerir. Bunu yapmak için, kötü amaçlı yazılım dolaylı sistem çağrıları yapar. (Açma işlevlerini içeren üçüncü bir teknik, bir EDR’ye karşı çalıştı, ancak diğer iki test deneğini kandıramayacak kadar şüpheliydi.)
Nohl ve Gimenez
Bir laboratuvarda, araştırmacılar, her bir baypas tekniğini kullanarak, biri Cobalt Strike ve diğeri Silver olarak adlandırılan, yaygın olarak kullanılan iki kötü amaçlı yazılım parçasını hem bir .exe hem de .dll dosyasının içine yerleştirdi. EDRS’lerden biri (araştırmacılar hangisini tanımlayamıyor) örneklerin hiçbirini tespit edemedi. Diğer iki EDR, tekniklerden herhangi birini kullandıklarında .dll dosyasından gelen örnekleri algılayamadı. İyi bir önlem olarak, araştırmacılar ortak bir antivirüs çözümünü de test ettiler.
Nohl ve Gimenez
Araştırmacılar, dört uzmandan oluşan bir ekip tarafından büyük bir kurumsal veya kurumsal ağın kötü amaçlı yazılım güvenliğinin ihlal edilmesi için gereken tipik temel sürenin yaklaşık sekiz hafta olduğunu tahmin ediyor. EDR’den kaçınmanın süreci yavaşlattığına inanılsa da, nispeten basit iki tekniğin bu korumayı güvenilir bir şekilde atlayabileceğinin ortaya çıkması, kötü amaçlı yazılım geliştiricilerinin bazılarının inanabileceği gibi fazla ek çalışmaya ihtiyaç duymayabileceği anlamına geliyor.
Nohl, “Genel olarak, EDR’ler, büyük bir şirketten ödün verirken yaklaşık yüzde 12 veya bir haftalık bilgisayar korsanlığı çabası ekliyor – kırmızı bir ekip çalışmasının tipik uygulama süresine bakılırsa,” diye yazdı.
Araştırmacılar bulgularını geçen hafta Singapur’daki Hack in the Box güvenlik konferansında sundular. Nohl, EDR üreticilerinin yalnızca Cobalt Strike gibi en popüler bilgisayar korsanlığı araçlarının belirli davranışlarını tetiklemek yerine kötü niyetli davranışları daha genel olarak tespit etmeye odaklanması gerektiğini söyledi. Nohl, belirli davranışlara aşırı odaklanmanın EDR’den kaçınmayı “daha ısmarlama araçlar kullanan bilgisayar korsanları için çok kolay” hale getirdiğini yazdı.
“Son noktalarda daha iyi EDR’leri tamamlayıcı olarak, sanal alanlardaki dinamik analizde hala potansiyel görüyoruz” diye ekledi. “Bunlar bulutta çalışabilir veya e-posta ağ geçitlerine veya web proxy’lerine eklenebilir ve kötü amaçlı yazılımları uç noktaya ulaşmadan önce filtreleyebilir.”