Takip ve idare yazılımları BT ve ağ yöneticilerinin günlük işlerini yapmasına, sıkıntıları çözmesine ve çalışanlara teknik takviye sunmasına yardımcı oluyor. Fakat siber hatalılar da bu yasal araçlardan yararlanabiliyor ve bunları şirketlerin altyapılarına saldırmak için kullanabiliyor. Bu yazılımlarla uç noktalarda program çalıştırabiliyor, hassas bilgilere erişebiliyor, ziyanlı yazılımları tespit etmekte kullanılan güvenlik denetimlerini aşabiliyorlar.
Olay müdahalelerinden toplanan anonim bilgiler incelendiğinde saldırganların 18 farklı yasal aracı berbat emeller için kullandığı görüldü. Bunlar ortasında en çok kullanılanı ise PowerShell (vakaların %25’i) oldu. Bu güçlü idare aracı bilgi sızdırmaktan ziyanlı yazılım çalıştırmaya kadar birçok hedef için kullanılabiliyor. PsExec isimli aracın ise hücumların %22’sinde kullanıldığı tespit edildi. Bu arayüz uygulaması uzak uç noktalarda süreçler çalıştırmakta kullanılıyor. Ağ ortamları hakkında bilgi toplamak için tasarlanan SoftPerfect Network Scanner ise %14 ile saldırganların en çok kullandığı üçüncü araç oldu.
Güvenlik tahlillerinin yasal araçlara düzenlenen hücumları tespit etmesi daha güç oluyor. Yapılan süreçlerin planlı bir siber kabahat faaliyeti mi yoksa standart bir sistem idare misyonu mi olduğu kolay anlaşılamıyor. Örneğin, bir aydan uzun süren atakların ortalama uzunluğunun 122 olduğu tespit edildi. Tespit edilmeyen siber hatalılar kurbanların hassas datalarını toplayabildi.
Lakin, siber uzmanları yasal yazılımlarla yapılan makûs niyetli faaliyetlerin bazen çok çabuk ortaya çıktığını da belirtiyor. Çoklukla fidye yazılımı akınlarında kullanıldığı için hasar açıkça görülebiliyor. Kısa hücumlarda ise ortalama müddet bir gün oldu.
Kaspersky Küresel Acil Durum Müdahale Takımı Yöneticisi Konstantin Sapronov, “Saldırganlar tespit edilmemek ve ağda uzun müddet görünmeden olabildiğince kalabilmek için çoklukla olağan kullanıcı işleri, yönetici misyonları ve sistem taraması için kullanılan yazılımlardan yararlanıyor. Bu araçlar sayesinde kurumsal ağda bilgi toplayıp dolaşabiliyor, yazılım ve donanım ayarlarını değiştirebiliyor ve ziyanlı faaliyetlerde bulunabiliyorlar. Örneğin, yasal yazılımlarla bilgileri şifrelemeleri mümkün. Yasal yazılımlar saldırganların güvenlik analistlerinden saklanmasına da yardımcı oluyor. Akınlar çoklukla hasar verildikten sonra fark ediliyor. Bu araçların kullanımından vazgeçmek de birçok nedenden ötürü mümkün değil. Lakin düzgün tutulan kayıtlar ve takip sistemleri ağdaki kuşkulu faaliyetleri tespit etmeye ve karmaşık hücumları erkenden fark etmeye yardımcı oluyor.” dedi.
Uzaktan idare yazılımlarının bir altyapıya sızmada kullanılmasını önlemek için Kaspersky şu tedbirlerin alınmasını tavsiye ediyor:
Harici IP adreslerinin uzaktan idare araçlarını kullanmasını kısıtlayın. Uzaktan denetim arayüzlerine sırf makul sayıda uç noktadan erişilmesini sağlayın.
Tüm BT sistemleri için sıkı parola siyaseti belirleyin ve çok evreli doğrulama kullanın.
Çalışanlara kısıtlı yetki tanıyın, yüksek yetkili hesapları sırf işini tamamlamak için muhtaçlık duyanlara verin.
