Osman KARAN
[email protected]
Aslında yeni bir atak tipi değil sadece daha genel geçer, bir anatomi bünyesi
içerisinde geliyor olması. Yani daha odaklı ve ısrarcı tehditlerin vazgeçilmez
aracı olarak kullanılmasıdır. Farklı bir deyişle bir dizi Taktik, Teknik ve Prosedü-
rün izlenmesidir. Saldırganın temel motivasyonu olan bilgisayar sistemini ele
geçirme eylemi bu tip ataklar ile çok daha kullanılabilir hale gelmiştir. Bir PE
dosyası kullanılmaz ve disk sürücünde bir dosyanın kopyalanması olmaz. Kul-
lanılan araçlar exploit ve exploit kitlerdir. Temel çalışma eylemi ise işletim siste-
minin doğal enstrümanı olan Powershell, Registry veya WMI gibi araçların kul-
lanılması ve bunların üzerinden yetkili ve meşru uygulamaların açıklıklarının
istismar edilmesidir. Zararlı kodlar bu araçlar üzerinden enjekte edilip çalıştırılır.
Keşif (recon.), komut ve kontrol aktivitesi, yetki eskalasyonu, ısrarcı bağlantı
kurma gibi atak adımlarında dosyasız atakların kullanıldığı görülmüştür.
Özetle saldırgan;
Görünmezlik; birçok güvenlik sisteminden tespit edilemeyerek bypass
olabilir.
Yetki kazanımı, meşru uygulamanın zafiyetini istismar ederek yetki ele ge-
çirilir.
Israrcı olma, uzun bir zaman tespit edilemeyerek sistem üzerinde kalabilir.
Çünkü herhangi bir dosya üzerinden değil aktivite eylem üzerinde koşmakta-
dır.
Çok basit bir dosyasız atak örneğini aşağıda paylaşıyorum.
1. Kullanıcı Firefox kullanarak bir web sayfasını ziyaret eder. Muhtemel bir
spam mesaj ile bir web sayfasına yönlendirilir.
2. Sayfa Flash kurar ve çalıştırır. Onlarca zafiyete sebebiyet veren Flash bir-
çok atak vektörünün başlangıç noktasıdır.
8