Siber saldırganlar, yapay zeka destekli gelişmiş EDR (Uç Nokta Tehdit Algılama ve Yanıt) sistemlerine yakalanmamak için strateji değiştirdi. Global tehdit raporlarına göre, artık sisteme dışarıdan "zararlı yazılım" (malware) indirmek yerine, "Living off the Land" (Sistemin kendi kaynaklarıyla yaşama) adı verilen LotL teknikleri çok daha yoğun kullanılıyor.
LotL mantığı oldukça basittir: İşletim sisteminde zaten var olan, Microsoft veya Apple tarafından dijital olarak imzalanmış ve güvenlik sistemlerinin "güvenilir" kabul ettiği yasal araçları kötüye kullanmak. Bu araçlara siber güvenlikte LOLBAS (Living Off The Land Binaries and Scripts) adı verilir.
Nasıl Çalışır?
Örneğin, Windows işletim sisteminde sertifika işlemlerini yönetmek için bulunan yasal certutil.exe aracı. Normalde tamamen zararsız olan bu sistem dosyası, saldırganlar tarafından internetten gizlice zararlı bir dosya indirmek için kullanılabiliyor. Antivirüs sistemleri, işlemi yapan program Windows'un kendi yasal programı olduğu için bu durumu çoğu zaman engellemiyor.
Gerçek Hayattan Bir Örnek: Microsoft'un Keşfettiği "Volt Typhoon" Casusluğu
LotL tekniklerinin yıkıcı gücü, Microsoft Tehdit İstihbarat Ekibi (MSTIC) tarafından hazırlanan özel bir raporla ortaya çıkan Çin destekli "Volt Typhoon" saldırılarında net bir şekilde görüldü. Grup, ABD'nin Pasifik'teki kritik telekomünikasyon altyapılarına (özellikle Guam adasındaki tesislere) sızdı. Aylarca tespit edilemeden gizlenmelerinin sırrı, içeri girmek için Fortinet yönlendiricilerindeki bir açığı kullanıp, sonrasında sisteme hiçbir özel virüs indirmemeleriydi. Veri çalmak için sadece Windows'un kendi yasal araçlarını (PowerShell, WMI ve certutil.exe) kullandılar. Bölgedeki güvenlik sistemleri (EDR'lar), çalışan bu programlar Windows'un kendi yasal parçaları olduğu için saldırıyı "normal bir ağ yöneticisi aktivitesi" zannedip alarm bile üretmedi.
Kişisel Not / Analiz:
Mesele artık sistemde "kötü niyetli bir dosya" bulmak değil, yasal bir aracın "kötü bir niyetle" kullanılıp kullanılmadığını anlamak haline geldi. Red Team ekipleri için bu LotL teknikleri, sızma testlerinde "tespit edilemezlik" süresini harika bir şekilde artırıyor. Ancak savunma (Blue Team) penceresinden baktığımızda, sadece dosya imzalarını kontrol eden geleneksel antivirüs mantığının çöktüğünü, bunun yerine kullanıcı ve sistem davranışlarını anormalliklere göre izleyen analitik sistemlere geçişin zorunlu olduğunu görüyoruz.
