Yazılım & İşletim SistemiOrta

Dijital İmzalı Yazılımlar Üzerinden Antivirüs Devre Dışı Bırakma Saldırıları ve Savunma Yöntemleri

Dijital imzalı reklam yazılımlarının SYSTEM yetkileriyle antivirüs korumalarını devre dışı bıraktığı saldırı vektörlerini ve alınması gereken önlemleri inceleyin.

B
Bleeping Computer Tutorials
9 görüntülenme
Dijital İmzalı Yazılımlar Üzerinden Antivirüs Devre Dışı Bırakma Saldırıları ve Savunma Yöntemleri

Genel Bakış

Son dönemde yapılan siber güvenlik analizleri, dijital olarak imzalanmış meşru yazılım araçlarının, saldırganlar tarafından kötü niyetli yükleri (payload) dağıtmak için kullanıldığını ortaya koymuştur. Bu saldırı türü, 'SYSTEM' ayrıcalıklarıyla çalışan süreçleri kullanarak, uç noktalardaki antivirüs (AV) ve EDR çözümlerini devre dışı bırakmayı hedeflemektedir. Eğitim, kamu hizmetleri ve sağlık sektörü gibi kritik alanlarda binlerce uç noktayı etkileyen bu durum, 'güvenilir yazılım' kavramının güvenlik açığına dönüşebileceğini kanıtlamaktadır.

Saldırı Mekanizması

Saldırganlar, meşru bir dijital imza taşıyan bir reklam yazılımı (adware) aracılığıyla sisteme sızmaktadır. Yazılım, işletim sistemi tarafından 'güvenilir' olarak algılandığı için güvenlik duvarlarını aşmakta ve ardından SYSTEM yetkileriyle çalışan bir script dizisi tetiklemektedir. Bu scriptler, kayıt defteri (registry) anahtarlarını değiştirerek veya servisleri sonlandırarak antivirüs korumasını etkisiz hale getirmektedir.

Çözüm ve Savunma Adımları

Bu tür saldırılara karşı proaktif bir savunma stratejisi izlemek kritik öneme sahiptir. Aşağıdaki adımları uygulayarak ortamınızı güvenli hale getirebilirsiniz:

  1. Uygulama Kontrolü (Application Whitelisting): Sadece onaylı ve bilinen imzalara sahip yazılımların çalışmasına izin verin. AppLocker veya Windows Defender Application Control (WDAC) kullanın.
  2. Davranışsal Analiz: Antivirüs çözümünüzün davranışsal izleme (behavioral monitoring) özelliklerini en üst seviyeye getirin.
  3. Yetki Kısıtlaması: Kullanıcıların yönetici haklarını minimum seviyeye indirin. SYSTEM yetkisi gerektiren işlemleri izleyin.
  4. Kayıt Defteri İzleme: Antivirüs servislerini kapatmaya yönelik kayıt defteri değişikliklerini izlemek için SIEM kuralları oluşturun.
Uyarı: Dijital imza, yazılımın 'güvenli' olduğu anlamına gelmez; sadece yazılımın kaynağının doğrulanmış olduğunu gösterir. Daima davranışsal analizlere güvenin.

İzleme Komutları

Sisteminizde antivirüs servislerinin durumunu kontrol etmek ve şüpheli süreçleri listelemek için aşağıdaki PowerShell komutlarını kullanabilirsiniz:

# Antivirüs servis durumunu kontrol et
Get-Service -Name *WinDefend*

# Çalışan şüpheli süreçleri listele
Get-Process | Where-Object {$_.Path -like "*temp*"} | Select-Object Name, Path, Id

# Kayıt defterinde AV devre dışı bırakma girişimlerini kontrol et
Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender"

Bu adımlar, saldırı yüzeyini daraltmanıza ve olası bir ihlal durumunda hızlı reaksiyon göstermenize yardımcı olacaktır. Düzenli yama yönetimi ve log analizi, bu tür gelişmiş tehditlere karşı en etkili savunma mekanizmalarıdır.

İlgili Makaleler