Comodo'nun ayrı arayüzleri var onları kullan.
Buraya tam çeviri atayım mı, herkes anlasınTest Procedure
Scripts such as VBS, JS or MS Office macros can execute and install a file-less backdoor on victims’ systems and create a control channel (C2) to the attacker, who is usually in a different physical location, and maybe even in a different country. Apart from these well-known scenarios, it is possible to deliver malware using exploits, remote calls (PSexec, wmic), task scheduler, registry entries, Arduino hardware (USB RubberDucky) and WMI calls. This can be done with built-in Windows tools like PowerShell. These methods load the actual malware directly from the Internet into the target system’s memory, and continue to expand further into the local area network with native OS tools. They may even become persistent on machines in this way. This year’s test does not make use of portable executable (PE) malware. However, as the nature of advanced persistent threats continues to evolve, we may introduce one or two samples of these in the future if appropriate.
Fileless attacks
In the field of malware there are many (possibly overlapping) classification categories, and amongst other things a distinction can be made between file-based and fileless malware. Since 2017, a significant increase in fileless threats has been recorded. One reason for this is the fact that such attacks have proved very successful from the attackers’ point of view. One factor in their effectiveness is the fact that fileless threats operate only in the memory of the compromised system, making it harder for security solutions to recognize them. It is important that fileless threats are recognised by consumer security programs as well as by business products, for the reasons given below.
Attack vectors and targets
In penetration tests, we see that certain attack vectors may not yet be well covered by security programs, and many popular AV products still provide insufficient protection. Some business security products are now making improvements in this area, and providing better protection in some scenarios. As mentioned above, we believe that consumer products also need to improve their protection against such malicious attacks; non-business users can be, and are, attacked in the same way. Anyone can be targeted, for a variety of reasons, including “doxing” (publishing confidential personal information) as an act of revenge. Attacking the home computers of businesspeople is also an obvious route into accessing their company data.
Attack methods
In the Advanced Threat Protection Test, we also include several different command-line stacks, CMD/PS commands, which can download malware from the network directly into RAM (staged) or base64 encoded calls. These methods completely avoid disk access, which is (usually) well guarded by security products. We sometimes use simple concealment measures, or change the method of the stager call as well. Once the malware has loaded its second stage, an http/https connection to the attacker will be established. This inside-out mechanism has the advantage of establishing a C2 channel to the attacker that is beyond the protection measures of the majority of NAT and firewall products. Once the C2 tunnel has been established, the attacker can use all known control mechanisms of the common C2 products (Meterpreter, PowerShell Empire, etc.). These include e.g. file uploads/downloads, screenshots, keylogging, Windows shell (GUI), and webcam snapshots. All the tools used are freely available. Their source code is open and created for research purposes. However, the bad guys often abuse these tools for criminal purposes.
False Positive (False Alarm) Test
A security product that blocks 100% of malicious attacks, but also blocks legitimate (non-malicious) actions, can be hugely disruptive. Consequently, we conduct a false-positives test as part of the Advanced Threat Protection Test, to check whether the tested products are able to distinguish malicious from non-malicious actions. Otherwise a security product could easily block 100% of malicious attacks that e.g. use email attachments, scripts and macros, simply by blocking such functions. For many users, this could make it impossible to carry out their normal daily tasks. Consequently, false-positive scores are taken into account in the product’s test score.
We also note that warning the user against e.g. opening harmless email attachments can lead to a “boy who cried wolf” scenario. Users who encounter a number of unnecessary warnings will sooner or later assume that all warnings are false alarms, and thus ignore a genuine warning when it comes along.
Testcases
We used five different Initial Access Phases, distributed among the 15 test cases (e.g. 3 testcases came via email/spear-phishing attachment).
The 15 test scenarios used in this test are very briefly described below:
- Trusted Relationship: “Adversaries may breach or otherwise leverage organizations who have access to intended victims. Access through trusted third-party relationship exploits an existing connection that may not be protected or receives less scrutiny than standard mechanisms of gaining access to a network.” (Source: Trusted Relationship, Technique T1199 - Enterprise | MITRE ATT&CK®)
- Valid accounts: “Adversaries may steal the credentials of a specific user or service account using Credential Access techniques or capture credentials earlier in their reconnaissance process through social engineering […].“ (Source: Valid Accounts, Technique T1078 - Enterprise | MITRE ATT&CK®)
- Replication Through Removable Media: “Adversaries may move onto systems […] by copying malware to removable media […] and renaming it to look like a legitimate file to trick users into executing it on a separate system. […]“ (Source: Replication Through Removable Media, Technique T1091 - Enterprise | MITRE ATT&CK®)
- Spearphishing Attachment: “Spearphishing attachment is […] employs the use of malware attached to an email. […]” (Source: https://attack.mitre.org/techniques/T1193/)
- Spearphishing Link: “Spearphishing with a link […] employs the use of links to download malware contained in email […].“ (Source: https://attack.mitre.org/techniques/T1192/)
1) This threat is introduced via Trusted Relationship. MSHTA launches an HTML application, which executes a staged Empire PowerShell payload.
2) This threat is introduced via Trusted Relationship. A PowerShell script containing an AMSI bypass and a PowerShell Empire stager was executed.
3) This threat is introduced via Trusted Relationship. Windows Scripting Host was used to download a PowerShell payload via a integrated Empire PowerShell Stager, combined with an AMSI bypass.
4) This threat is introduced through Valid Accounts. The trusted Windows utility Microsoft Build Engine was used to proxy the execution of an Empire macro payload, which opens a command and control channel.
5) This threat is introduced through Valid Accounts. A VBScript which spawns a PowerShell process and executes an Empire payload has been used.
6) This threat is introduced through Valid Accounts. A batch file was used to execute an obfuscated PowerShell stager, download an obfuscated PoshC2
7) This threat is introduced via Removable Media (USB). A JavaScript executes an obfuscated PowerShell stager, which downloads and executes a PoshC2 PowerShell payload.
8) This threat is introduced via Removable Media (USB). MSHTA.exe executes a PowerShell stager which launches a base64-encoded PoshC2 staged PowerShell payload.
9) This threat is introduced via Removable Media (USB). A malicious Microsoft Office macro executes a PoshC2 PowerShell payload.
10) This threat is introduced via Spearphishing Attachment. VBScript downloads and executes an XSL PoshC2
11) This threat is introduced via Spearphishing Attachment. A HTML application downloads and executes an obfuscated PowerShell payload. This test case was created with Metasploit Meterpreter.
12) This threat is introduced via Spearphishing Attachment. VBScript downloads and executes an XSL payload. This test case was created with Metasploit Meterpreter.
13) This threat is introduced via Spearphishing Link. MSHTA.exe downloads and executes an obfuscated XSL payload. This test case was created with Metasploit Meterpreter.
14) This threat is introduced via Spearphishing Link. A JavaScript downloads and executes an obfuscated PowerShell payload. This test case was created with Metasploit Meterpreter.
15) This threat is introduced via Spearphishing Link. exe downloads and executes a PowerShell stager which downloads and executes an encrypted PowerShell Empire staged PowerShell payload, combined with an AMSI bypass.
False Alarm Test: Various false-alarm scenarios were used in order to see if any product is over-blocking certain actions (e.g. by blocking by policy email attachments, communication, scripts, etc.). None of the tested products showed over-blocking behaviour in the false-alarm test scenarios used.
If during the course of the test, we were to observe products adapting their protection to our test environment, we would use countermeasures to evade these adaptations, to ensure that each product can genuinely detect the attack, as opposed to the test situation.
What is covered by the various testcases?
Our tests use a subset of the TTP (Tactics, Techniques, Procedures) listed in the MITRE ATT&CK framework. This year, the above 15 testcases cover the items shown in the table below:
For reference purposes, the full MITRE ATT&CK framework for Windows can be seen here: Matrix - Enterprise | MITRE ATT&CK®
In our opinion, the goal of every AV/EPP/EDR system should be to detect and prevent attacks or other malware as soon as possible. In other words, if the attack is detected before, at or soon after execution, thus preventing e.g. the opening of a Command and Control Channel, there is no need to prevent post-exploitation activities. A good burglar alarm should go off when somebody breaks into your house, not wait until they start stealing things.
A product that blocked certain legitimate functions (e.g. email attachments or scripts) would be categorised only as “Tested”.
Observations on consumer products
In this section, we report some additional information which could be of interest to readers.
Detection/Blocking stages
Pre-execution (PRE): when the threat has not been run, and is inactive on the system.
On-execution (ON): immediately after the threat has been run.
Post-execution (POST): after the threat has been run, and its actions have been recognised.
Bundan sonraları AV'leri kendi düşüncelerine göre sıralıyorlar.
Buyrun.
Sesiniz sedanız kesildi. Üzücü.
Test Prosedürü VBS, JS veya MS Office makroları gibi komut dosyaları, kurbanların sistemlerinde dosyasız bir arka kapı çalıştırabilir ve kurabilir ve genellikle farklı bir fiziksel konumda ve hatta belki de farklı bir yerde bulunan saldırgan için bir kontrol kanalı (C2) oluşturabilir. ülke. Bu iyi bilinen senaryoların yanı sıra, kötü amaçlı yazılımları istismarlar, uzaktan aramalar (PSexec, wmic), görev zamanlayıcı, kayıt defteri girişleri, Arduino donanımı (USB RubberDucky) ve WMI aramaları kullanarak sunmak mümkündür. Bu, PowerShell gibi yerleşik Windows araçlarıyla yapılabilir. Bu yöntemler, gerçek kötü amaçlı yazılımı doğrudan İnternet'ten hedef sistemin belleğine yükler ve yerel işletim sistemi araçlarıyla yerel alan ağına doğru genişlemeye devam eder. Hatta bu şekilde makinelerde ısrarcı hale gelebilirler. Bu yılki test, taşınabilir yürütülebilir (PE) kötü amaçlı yazılımdan yararlanmamaktadır. Ancak, gelişmiş kalıcı tehditlerin doğası gelişmeye devam ettikçe, uygunsa gelecekte bunlardan bir veya iki örnek sunabiliriz. Dosyasız saldırılar Kötü amaçlı yazılım alanında birçok (muhtemelen çakışan) sınıflandırma kategorileri vardır ve diğer şeylerin yanı sıra, dosya tabanlı ve dosyasız kötü amaçlı yazılımlar arasında bir ayrım yapılabilir. 2017'den bu yana, dosyasız tehditlerde önemli bir artış kaydedildi. Bunun bir nedeni, bu tür saldırıların saldırganların bakış açısından çok başarılı olduğu gerçeğidir. Etkinliklerindeki faktörlerden biri, dosyasız tehditlerin yalnızca tehlikeye atılan sistemin hafızasında işlemesi ve güvenlik çözümlerinin onları tanımasını zorlaştırmasıdır. Dosyasız tehditlerin, aşağıda verilen nedenlerden dolayı iş ürünleri kadar tüketici güvenlik programları tarafından da tanınması önemlidir. Saldırı vektörleri ve hedefler Sızma testlerinde, belirli saldırı vektörlerinin henüz güvenlik programları tarafından yeterince ele alınmadığını ve birçok popüler AV ürününün hala yetersiz koruma sağladığını görüyoruz. Bazı iş güvenliği ürünleri artık bu alanda iyileştirmeler yapıyor ve bazı senaryolarda daha iyi koruma sağlıyor. Yukarıda belirtildiği gibi, tüketici ürünlerinin de bu tür kötü niyetli saldırılara karşı korumalarını iyileştirmesi gerektiğine inanıyoruz; ticari olmayan kullanıcılar da aynı şekilde saldırıya uğrayabilir ve saldırıya uğrayabilir. Bir intikam eylemi olarak “doxing” (gizli kişisel bilgilerin yayınlanması) dahil olmak üzere çeşitli nedenlerle herkes hedef alınabilir. İş adamlarının ev bilgisayarlarına saldırmak da şirket verilerine erişmenin açık bir yoludur. Saldırı yöntemleri Gelişmiş Tehdit Koruması Testinde, kötü amaçlı yazılımları ağdan doğrudan RAM'e (aşamalı) veya base64 kodlu çağrılara indirebilen birkaç farklı komut satırı yığınını, CMD / PS komutlarını da dahil ediyoruz. Bu yöntemler, (genellikle) güvenlik ürünleri tarafından iyi korunan disk erişimini tamamen önler. Bazen basit gizleme önlemleri kullanırız veya aşamalı çağrı yöntemini de değiştiririz. Kötü amaçlı yazılım ikinci aşamasını yüklediğinde, saldırgana bir http / https bağlantısı kurulacaktır. Bu içten dışa mekanizma, saldırgan için NAT ve güvenlik duvarı ürünlerinin çoğunun koruma önlemlerinin ötesinde bir C2 kanalı kurma avantajına sahiptir. C2 tüneli oluşturulduktan sonra, saldırgan, ortak C2 ürünlerinin (Meterpreter, PowerShell Empire, vb.) Bilinen tüm kontrol mekanizmalarını kullanabilir. Bunlar, ör. dosya yüklemeleri / indirmeleri, ekran görüntüleri, tuş kaydı, Windows kabuğu (GUI) ve web kamerası anlık görüntüleri. Kullanılan tüm araçlar ücretsiz olarak temin edilebilir. Kaynak kodları açık ve araştırma amaçlı oluşturulmuştur. Bununla birlikte, kötü adamlar bu araçları genellikle cezai amaçlar için kötüye kullanırlar. Yanlış Pozitif (Yanlış Alarm) Testi Kötü amaçlı saldırıların% 100'ünü engelleyen, ancak aynı zamanda yasal (kötü niyetli olmayan) eylemleri de engelleyen bir güvenlik ürünü, büyük ölçüde yıkıcı olabilir. Sonuç olarak, test edilen ürünlerin kötü niyetli eylemleri kötü niyetli olmayan eylemlerden ayırt edip edemediğini kontrol etmek için Gelişmiş Tehdit Koruması Testinin bir parçası olarak yanlış pozitifler testi yapıyoruz. Aksi takdirde, bir güvenlik ürünü, örneğin, kötü niyetli saldırıların% 100'ünü kolaylıkla engelleyebilir. e-posta eklerini, komut dosyalarını ve makroları, yalnızca bu tür işlevleri engelleyerek kullanın. Birçok kullanıcı için bu, normal günlük görevlerini yerine getirmeyi imkansız hale getirebilir. Sonuç olarak, yanlış pozitif puanlar, ürünün test puanında dikkate alınır. Ayrıca kullanıcıyı ör. zararsız e-posta eklerini açmak bir "kurt ağlayan çocuk" senaryosuna yol açabilir. Bir dizi gereksiz uyarı ile karşılaşan kullanıcılar, er ya da geç tüm uyarıların yanlış alarmlar olduğunu varsayacak ve bu nedenle ortaya çıktığında gerçek bir uyarıyı görmezden gelecektir. Test kutuları 15 test senaryosu arasında dağıtılan beş farklı İlk Erişim Aşaması kullandık (ör. 3 test durumu e-posta / kimlik avı eki yoluyla geldi). Güvenilir İlişki: "Düşmanlar, amaçlanan kurbanlara erişimi olan kuruluşları ihlal edebilir veya başka şekilde bunlardan faydalanabilir. Güvenilir üçüncü taraf ilişkisi aracılığıyla erişim, korunmayan veya bir ağa erişim sağlamaya yönelik standart mekanizmalardan daha az inceleme alan mevcut bir bağlantıyı kötüye kullanır. " (Kaynak: Trusted Relationship, Technique T1199 - Enterprise | MITER ATT & CK®) Geçerli hesaplar: "Rakipler, Kimlik Bilgisi Erişimi tekniklerini kullanarak belirli bir kullanıcının veya hizmet hesabının kimlik bilgilerini çalabilir veya sosyal mühendislik yoluyla keşif süreçlerinin başlarında kimlik bilgilerini ele geçirebilir […]." (Kaynak: Geçerli Hesaplar, Teknik T1078 - Kurumsal | MITER ATT & CK® ) Çıkarılabilir Ortam Aracılığıyla Çoğaltma: "Düşmanlar, kötü amaçlı yazılımları çıkarılabilir ortama […] kopyalayıp, kullanıcıları ayrı bir sistemde çalıştırmaları için kandırmak için yasal bir dosya gibi görünecek şekilde yeniden adlandırarak […] sistemlere geçebilirler. […] “(Kaynak: Çıkarılabilir Ortamla Çoğaltma, Teknik T1091 - Kurumsal | MITRE ATT & CK®) Hedefli Kimlik Avı Eki: "Hedefli kimlik avı eki, […] bir e-postaya eklenen kötü amaçlı yazılımların kullanımını kullanıyor. […] ”(Kaynak: https://attack.mitre.org/techniques/T1193/) Spearphishing Bağlantısı: "Bir bağlantıyla […] hedefli kimlik avı, e-postada bulunan kötü amaçlı yazılımları indirmek için bağlantıların kullanımını kullanır […]." (Kaynak: https://attack.mitre.org/techniques/T1192/) Bu testte kullanılan 15 test senaryosu aşağıda çok kısaca açıklanmıştır: 1) Bu tehdit, Güvenilir İlişki aracılığıyla ortaya çıkar. MSHTA, aşamalı bir Empire PowerShell yükünü yürüten bir HTML uygulamasını başlatır. 2) Bu tehdit, Güvenilir İlişki aracılığıyla ortaya çıkar. Bir AMSI atlama ve bir PowerShell Empire aşamalandırma içeren bir PowerShell betiği yürütüldü. 3) Bu tehdit, Güvenilir İlişki aracılığıyla ortaya çıkar. Windows Komut Dosyası Sistemi, bir AMSI atlama ile birlikte entegre bir Empire PowerShell Stager aracılığıyla bir PowerShell yükünü indirmek için kullanıldı. 4) Bu tehdit, Geçerli Hesaplar aracılığıyla ortaya çıkar. Güvenilir Windows yardımcı programı Microsoft Build Engine, bir komut ve kontrol kanalı açan Empire makro yükünün yürütülmesine proxy sağlamak için kullanıldı. 5) Bu tehdit, Geçerli Hesaplar aracılığıyla ortaya çıkar. Bir PowerShell sürecini oluşturan ve bir Empire yükünü yürüten bir VBScript kullanılmıştır. 6) Bu tehdit, Geçerli Hesaplar aracılığıyla ortaya çıkar. Karartılmış bir PowerShell aşamasını çalıştırmak için bir toplu iş dosyası kullanıldı, karmaşık bir PoshC2 indirildi 7) Bu tehdit, Çıkarılabilir Ortam (USB) aracılığıyla ortaya çıkar. Bir JavaScript, bir PoshC2 PowerShell yükünü indiren ve yürüten karmaşık bir PowerShell aşamalandırıcıyı yürütür. 8) Bu tehdit, Çıkarılabilir Ortam (USB) aracılığıyla ortaya çıkar. MSHTA.exe, base64 kodlu bir PoshC2 aşamalı PowerShell yükünü başlatan bir PowerShell aşamalandırma yürütür. 9) Bu tehdit, Çıkarılabilir Ortam (USB) aracılığıyla ortaya çıkar. Kötü amaçlı bir Microsoft Office makrosu, bir PoshC2 PowerShell yükünü yürütür. 10) Bu tehdit, Spearphishing Eklentisi aracılığıyla tanıtıldı. VBScript bir XSL PoshC2 indirir ve yürütür 11) Bu tehdit, Spearphishing Eklentisi aracılığıyla tanıtıldı. Bir HTML uygulaması, karmaşık bir PowerShell yükünü indirir ve yürütür. Bu test senaryosu Metasploit Meterpreter ile oluşturulmuştur. 12) Bu tehdit, Spearphishing Eklentisi aracılığıyla tanıtıldı. VBScript, bir XSL yükünü indirir ve yürütür. Bu test senaryosu Metasploit Meterpreter ile oluşturulmuştur. 13) Bu tehdit, Spearphishing Link aracılığıyla tanıtıldı. MSHTA.exe, karmaşık bir XSL yükünü indirir ve yürütür. Bu test senaryosu Metasploit Meterpreter ile oluşturulmuştur. 14) Bu tehdit, Spearphishing Link aracılığıyla tanıtıldı. Bir JavaScript, karmaşık bir PowerShell yükünü indirir ve yürütür. Bu test senaryosu Metasploit Meterpreter ile oluşturulmuştur. 15) Bu tehdit, Spearphishing Link aracılığıyla tanıtıldı. exe, bir AMSI atlama ile birlikte şifrelenmiş bir PowerShell Empire aşamalı PowerShell yükünü indiren ve yürüten bir PowerShell aşamalandırıcı indirir ve yürütür. Yanlış Alarm Testi: Herhangi bir ürünün belirli eylemleri aşırı engelleyip engellemediğini görmek için çeşitli yanlış alarm senaryoları kullanılmıştır (ör. Politika e-posta ekleri, iletişim, komut dosyaları vb. İle engelleme). Test edilen ürünlerin hiçbiri, kullanılan yanlış alarm testi senaryolarında aşırı engelleme davranışı göstermedi. Test sırasında, korumalarını test ortamımıza uyarlayan ürünleri gözlemleyecek olsaydık, test durumunun aksine her ürünün saldırıyı gerçekten algılayabilmesini sağlamak için bu uyarlamalardan kaçınmak için karşı önlemler kullanırdık. Çeşitli test durumları neleri kapsar? Testlerimiz, MITRE ATT & CK çerçevesinde listelenen TTP'nin (Taktikler, Teknikler, Prosedürler) bir alt kümesini kullanır. Bu yıl, yukarıdaki 15 test vakası aşağıdaki tabloda gösterilen öğeleri kapsamaktadır: İlk Erişim Yürütme Kalıcılık Savunmadan Kaçınma Keşfi Yanal Hareket Toplama Komut ve Kontrol Sızdırma Çıkarılabilir Ortam Komutu ve Komut Dosyası Tercümanı Aracılığıyla Çoğaltma Önyükleme veya Oturum Açma Otomatik Başlatma Yürütme Gizlenmiş Dosyaları veya Bilgi Sistemi Sahibi / Kullanıcı Bulma Çoğaltması Yerel Sistemden Çıkarılabilir Ortam Verileri aracılığıyla Uygulama Dışı Katman Protokolü C2 Kanalı Üzerinden Sızıntı Güvenilir İlişki Kullanıcı Yürütme Geçerli Hesaplar Kayıt Defteri Yazılımını Değiştirin Keşif Dahili Spearphishing Ekranı Yakalama Uygulama Katmanı Protokolü Otomatikleştirilmiş Sızdırma Geçerli Hesaplar İmzalanmış İkili Proxy Yürütme Sistemi Bilgi Bulma Panosu Veri Gizleme Kimlik Avı Şablonu Ekleme Şifreli Kanal Çok Aşamalı Kanalları Maskelemek Geçerli Hesaplar Veri Kodlaması XSL Komut Dosyası İşleme Standart Olmayan Bağlantı Noktası Referans amacıyla, Windows için tam MITRE ATT & CK çerçevesi burada görülebilir: Matrix - Enterprise | MITRE ATT&CK® Bize göre, her AV / EPP / EDR sisteminin amacı, saldırıları veya diğer kötü amaçlı yazılımları mümkün olan en kısa sürede tespit etmek ve önlemek olmalıdır. Başka bir deyişle, saldırı yürütmeden önce, yürütme sırasında veya hemen sonra tespit edilirse, bu nedenle örneğin Bir Komuta Kontrol Kanalı'nın açılması, sömürü sonrası faaliyetleri engellemeye gerek yoktur. İyi bir hırsız alarmı, biri evinize girdiğinde çalmalı, bir şeyler çalmaya başlayana kadar beklememelidir. Belirli yasal işlevleri (ör. E-posta ekleri veya komut dosyaları) engelleyen bir ürün, yalnızca "Test Edildi" olarak kategorize edilir. Tüketici ürünleri üzerine gözlemler Bu bölümde, okuyucuların ilgisini çekebilecek bazı ek bilgileri rapor ediyoruz. Algılama / Engelleme aşamaları Yürütme öncesi (PRE): tehdit çalıştırılmadığında ve sistemde etkin olmadığında. Yürütme (AÇIK): tehdit çalıştırıldıktan hemen sonra. Yürütme sonrası (POST): tehdit çalıştırıldıktan ve eylemleri tanındıktan sonraBuraya tam çeviri atayım mı, herkes anlasın. Gerçi bu da çevirlmez çok uzun.
Bitdefender 2 GB RAM'li laptopta Windows 7'de denemiştim. 130-150 MB civarı RAM kullanımı vardı.Evet var ama hiçbiri "bana" güzel gelmedi belki size göre güzeldir.
Test Prosedürü VBS, JS veya MS Office makroları gibi komut dosyaları, kurbanların sistemlerinde dosyasız bir arka kapı çalıştırabilir ve kurabilir ve genellikle farklı bir fiziksel konumda ve hatta belki de farklı bir yerde bulunan saldırgan için bir kontrol kanalı (C2) oluşturabilir. ülke. Bu iyi bilinen senaryoların yanı sıra, kötü amaçlı yazılımları istismarlar, uzaktan aramalar (PSexec, wmic), görev zamanlayıcı, kayıt defteri girişleri, Arduino donanımı (USB RubberDucky) ve WMI aramaları kullanarak sunmak mümkündür. Bu, PowerShell gibi yerleşik Windows araçlarıyla yapılabilir. Bu yöntemler, gerçek kötü amaçlı yazılımı doğrudan İnternet'ten hedef sistemin belleğine yükler ve yerel işletim sistemi araçlarıyla yerel alan ağına doğru genişlemeye devam eder. Hatta bu şekilde makinelerde ısrarcı hale gelebilirler. Bu yılki test, taşınabilir yürütülebilir (PE) kötü amaçlı yazılımdan yararlanmamaktadır. Ancak, gelişmiş kalıcı tehditlerin doğası gelişmeye devam ettikçe, uygunsa gelecekte bunlardan bir veya iki örnek sunabiliriz. Dosyasız saldırılar Kötü amaçlı yazılım alanında birçok (muhtemelen çakışan) sınıflandırma kategorileri vardır ve diğer şeylerin yanı sıra, dosya tabanlı ve dosyasız kötü amaçlı yazılımlar arasında bir ayrım yapılabilir. 2017'den bu yana, dosyasız tehditlerde önemli bir artış kaydedildi. Bunun bir nedeni, bu tür saldırıların saldırganların bakış açısından çok başarılı olduğu gerçeğidir. Etkinliklerindeki faktörlerden biri, dosyasız tehditlerin yalnızca tehlikeye atılan sistemin hafızasında işlemesi ve güvenlik çözümlerinin onları tanımasını zorlaştırmasıdır. Dosyasız tehditlerin, aşağıda verilen nedenlerden dolayı iş ürünleri kadar tüketici güvenlik programları tarafından da tanınması önemlidir. Saldırı vektörleri ve hedefler Sızma testlerinde, belirli saldırı vektörlerinin henüz güvenlik programları tarafından yeterince ele alınmadığını ve birçok popüler AV ürününün hala yetersiz koruma sağladığını görüyoruz. Bazı iş güvenliği ürünleri artık bu alanda iyileştirmeler yapıyor ve bazı senaryolarda daha iyi koruma sağlıyor. Yukarıda belirtildiği gibi, tüketici ürünlerinin de bu tür kötü niyetli saldırılara karşı korumalarını iyileştirmesi gerektiğine inanıyoruz; ticari olmayan kullanıcılar da aynı şekilde saldırıya uğrayabilir ve saldırıya uğrayabilir. Bir intikam eylemi olarak “doxing” (gizli kişisel bilgilerin yayınlanması) dahil olmak üzere çeşitli nedenlerle herkes hedef alınabilir. İş adamlarının ev bilgisayarlarına saldırmak da şirket verilerine erişmenin açık bir yoludur. Saldırı yöntemleri Gelişmiş Tehdit Koruması Testinde, kötü amaçlı yazılımları ağdan doğrudan RAM'e (aşamalı) veya base64 kodlu çağrılara indirebilen birkaç farklı komut satırı yığınını, CMD / PS komutlarını da dahil ediyoruz. Bu yöntemler, (genellikle) güvenlik ürünleri tarafından iyi korunan disk erişimini tamamen önler. Bazen basit gizleme önlemleri kullanırız veya aşamalı çağrı yöntemini de değiştiririz. Kötü amaçlı yazılım ikinci aşamasını yüklediğinde, saldırgana bir http / https bağlantısı kurulacaktır. Bu içten dışa mekanizma, saldırgan için NAT ve güvenlik duvarı ürünlerinin çoğunun koruma önlemlerinin ötesinde bir C2 kanalı kurma avantajına sahiptir. C2 tüneli oluşturulduktan sonra, saldırgan, ortak C2 ürünlerinin (Meterpreter, PowerShell Empire, vb.) Bilinen tüm kontrol mekanizmalarını kullanabilir. Bunlar, ör. dosya yüklemeleri / indirmeleri, ekran görüntüleri, tuş kaydı, Windows kabuğu (GUI) ve web kamerası anlık görüntüleri. Kullanılan tüm araçlar ücretsiz olarak temin edilebilir. Kaynak kodları açık ve araştırma amaçlı oluşturulmuştur. Bununla birlikte, kötü adamlar bu araçları genellikle cezai amaçlar için kötüye kullanırlar. Yanlış Pozitif (Yanlış Alarm) Testi Kötü amaçlı saldırıların% 100'ünü engelleyen, ancak aynı zamanda yasal (kötü niyetli olmayan) eylemleri de engelleyen bir güvenlik ürünü, büyük ölçüde yıkıcı olabilir. Sonuç olarak, test edilen ürünlerin kötü niyetli eylemleri kötü niyetli olmayan eylemlerden ayırt edip edemediğini kontrol etmek için Gelişmiş Tehdit Koruması Testinin bir parçası olarak yanlış pozitifler testi yapıyoruz. Aksi takdirde, bir güvenlik ürünü, örneğin, kötü niyetli saldırıların% 100'ünü kolaylıkla engelleyebilir. e-posta eklerini, komut dosyalarını ve makroları, yalnızca bu tür işlevleri engelleyerek kullanın. Birçok kullanıcı için bu, normal günlük görevlerini yerine getirmeyi imkansız hale getirebilir. Sonuç olarak, yanlış pozitif puanlar, ürünün test puanında dikkate alınır. Ayrıca kullanıcıyı ör. zararsız e-posta eklerini açmak bir "kurt ağlayan çocuk" senaryosuna yol açabilir. Bir dizi gereksiz uyarı ile karşılaşan kullanıcılar, er ya da geç tüm uyarıların yanlış alarmlar olduğunu varsayacak ve bu nedenle ortaya çıktığında gerçek bir uyarıyı görmezden gelecektir. Test kutuları 15 test senaryosu arasında dağıtılan beş farklı İlk Erişim Aşaması kullandık (ör. 3 test durumu e-posta / kimlik avı eki yoluyla geldi). Güvenilir İlişki: "Düşmanlar, amaçlanan kurbanlara erişimi olan kuruluşları ihlal edebilir veya başka şekilde bunlardan faydalanabilir. Güvenilir üçüncü taraf ilişkisi aracılığıyla erişim, korunmayan veya bir ağa erişim sağlamaya yönelik standart mekanizmalardan daha az inceleme alan mevcut bir bağlantıyı kötüye kullanır. " (Kaynak: Trusted Relationship, Technique T1199 - Enterprise | MITER ATT & CK®) Geçerli hesaplar: "Rakipler, Kimlik Bilgisi Erişimi tekniklerini kullanarak belirli bir kullanıcının veya hizmet hesabının kimlik bilgilerini çalabilir veya sosyal mühendislik yoluyla keşif süreçlerinin başlarında kimlik bilgilerini ele geçirebilir […]." (Kaynak: Geçerli Hesaplar, Teknik T1078 - Kurumsal | MITER ATT & CK® ) Çıkarılabilir Ortam Aracılığıyla Çoğaltma: "Düşmanlar, kötü amaçlı yazılımları çıkarılabilir ortama […] kopyalayıp, kullanıcıları ayrı bir sistemde çalıştırmaları için kandırmak için yasal bir dosya gibi görünecek şekilde yeniden adlandırarak […] sistemlere geçebilirler. […] “(Kaynak: Çıkarılabilir Ortamla Çoğaltma, Teknik T1091 - Kurumsal | MITRE ATT & CK®) Hedefli Kimlik Avı Eki: "Hedefli kimlik avı eki, […] bir e-postaya eklenen kötü amaçlı yazılımların kullanımını kullanıyor. […] ”(Kaynak: https://attack.mitre.org/techniques/T1193/) Spearphishing Bağlantısı: "Bir bağlantıyla […] hedefli kimlik avı, e-postada bulunan kötü amaçlı yazılımları indirmek için bağlantıların kullanımını kullanır […]." (Kaynak: https://attack.mitre.org/techniques/T1192/) Bu testte kullanılan 15 test senaryosu aşağıda çok kısaca açıklanmıştır: 1) Bu tehdit, Güvenilir İlişki aracılığıyla ortaya çıkar. MSHTA, aşamalı bir Empire PowerShell yükünü yürüten bir HTML uygulamasını başlatır. 2) Bu tehdit, Güvenilir İlişki aracılığıyla ortaya çıkar. Bir AMSI atlama ve bir PowerShell Empire aşamalandırma içeren bir PowerShell betiği yürütüldü. 3) Bu tehdit, Güvenilir İlişki aracılığıyla ortaya çıkar. Windows Komut Dosyası Sistemi, bir AMSI atlama ile birlikte entegre bir Empire PowerShell Stager aracılığıyla bir PowerShell yükünü indirmek için kullanıldı. 4) Bu tehdit, Geçerli Hesaplar aracılığıyla ortaya çıkar. Güvenilir Windows yardımcı programı Microsoft Build Engine, bir komut ve kontrol kanalı açan Empire makro yükünün yürütülmesine proxy sağlamak için kullanıldı. 5) Bu tehdit, Geçerli Hesaplar aracılığıyla ortaya çıkar. Bir PowerShell sürecini oluşturan ve bir Empire yükünü yürüten bir VBScript kullanılmıştır. 6) Bu tehdit, Geçerli Hesaplar aracılığıyla ortaya çıkar. Karartılmış bir PowerShell aşamasını çalıştırmak için bir toplu iş dosyası kullanıldı, karmaşık bir PoshC2 indirildi 7) Bu tehdit, Çıkarılabilir Ortam (USB) aracılığıyla ortaya çıkar. Bir JavaScript, bir PoshC2 PowerShell yükünü indiren ve yürüten karmaşık bir PowerShell aşamalandırıcıyı yürütür. 8) Bu tehdit, Çıkarılabilir Ortam (USB) aracılığıyla ortaya çıkar. MSHTA.exe, base64 kodlu bir PoshC2 aşamalı PowerShell yükünü başlatan bir PowerShell aşamalandırma yürütür. 9) Bu tehdit, Çıkarılabilir Ortam (USB) aracılığıyla ortaya çıkar. Kötü amaçlı bir Microsoft Office makrosu, bir PoshC2 PowerShell yükünü yürütür. 10) Bu tehdit, Spearphishing Eklentisi aracılığıyla tanıtıldı. VBScript bir XSL PoshC2 indirir ve yürütür 11) Bu tehdit, Spearphishing Eklentisi aracılığıyla tanıtıldı. Bir HTML uygulaması, karmaşık bir PowerShell yükünü indirir ve yürütür. Bu test senaryosu Metasploit Meterpreter ile oluşturulmuştur. 12) Bu tehdit, Spearphishing Eklentisi aracılığıyla tanıtıldı. VBScript, bir XSL yükünü indirir ve yürütür. Bu test senaryosu Metasploit Meterpreter ile oluşturulmuştur. 13) Bu tehdit, Spearphishing Link aracılığıyla tanıtıldı. MSHTA.exe, karmaşık bir XSL yükünü indirir ve yürütür. Bu test senaryosu Metasploit Meterpreter ile oluşturulmuştur. 14) Bu tehdit, Spearphishing Link aracılığıyla tanıtıldı. Bir JavaScript, karmaşık bir PowerShell yükünü indirir ve yürütür. Bu test senaryosu Metasploit Meterpreter ile oluşturulmuştur. 15) Bu tehdit, Spearphishing Link aracılığıyla tanıtıldı. exe, bir AMSI atlama ile birlikte şifrelenmiş bir PowerShell Empire aşamalı PowerShell yükünü indiren ve yürüten bir PowerShell aşamalandırıcı indirir ve yürütür. Yanlış Alarm Testi: Herhangi bir ürünün belirli eylemleri aşırı engelleyip engellemediğini görmek için çeşitli yanlış alarm senaryoları kullanılmıştır (ör. Politika e-posta ekleri, iletişim, komut dosyaları vb. İle engelleme). Test edilen ürünlerin hiçbiri, kullanılan yanlış alarm testi senaryolarında aşırı engelleme davranışı göstermedi. Test sırasında, korumalarını test ortamımıza uyarlayan ürünleri gözlemleyecek olsaydık, test durumunun aksine her ürünün saldırıyı gerçekten algılayabilmesini sağlamak için bu uyarlamalardan kaçınmak için karşı önlemler kullanırdık. Çeşitli test durumları neleri kapsar? Testlerimiz, MITRE ATT & CK çerçevesinde listelenen TTP'nin (Taktikler, Teknikler, Prosedürler) bir alt kümesini kullanır. Bu yıl, yukarıdaki 15 test vakası aşağıdaki tabloda gösterilen öğeleri kapsamaktadır: İlk Erişim Yürütme Kalıcılık Savunmadan Kaçınma Keşfi Yanal Hareket Toplama Komut ve Kontrol Sızdırma Çıkarılabilir Ortam Komutu ve Komut Dosyası Tercümanı Aracılığıyla Çoğaltma Önyükleme veya Oturum Açma Otomatik Başlatma Yürütme Gizlenmiş Dosyaları veya Bilgi Sistemi Sahibi / Kullanıcı Bulma Çoğaltması Yerel Sistemden Çıkarılabilir Ortam Verileri aracılığıyla Uygulama Dışı Katman Protokolü C2 Kanalı Üzerinden Sızıntı Güvenilir İlişki Kullanıcı Yürütme Geçerli Hesaplar Kayıt Defteri Yazılımını Değiştirin Keşif Dahili Spearphishing Ekranı Yakalama Uygulama Katmanı Protokolü Otomatikleştirilmiş Sızdırma Geçerli Hesaplar İmzalanmış İkili Proxy Yürütme Sistemi Bilgi Bulma Panosu Veri Gizleme Kimlik Avı Şablonu Ekleme Şifreli Kanal Çok Aşamalı Kanalları Maskelemek Geçerli Hesaplar Veri Kodlaması XSL Komut Dosyası İşleme Standart Olmayan Bağlantı Noktası Referans amacıyla, Windows için tam MITRE ATT & CK çerçevesi burada görülebilir: Matrix - Enterprise | MITRE ATT&CK® Bize göre, her AV / EPP / EDR sisteminin amacı, saldırıları veya diğer kötü amaçlı yazılımları mümkün olan en kısa sürede tespit etmek ve önlemek olmalıdır. Başka bir deyişle, saldırı yürütmeden önce, yürütme sırasında veya hemen sonra tespit edilirse, bu nedenle örneğin Bir Komuta Kontrol Kanalı'nın açılması, sömürü sonrası faaliyetleri engellemeye gerek yoktur. İyi bir hırsız alarmı, biri evinize girdiğinde çalmalı, bir şeyler çalmaya başlayana kadar beklememelidir. Belirli yasal işlevleri (ör. E-posta ekleri veya komut dosyaları) engelleyen bir ürün, yalnızca "Test Edildi" olarak kategorize edilir. Tüketici ürünleri üzerine gözlemler Bu bölümde, okuyucuların ilgisini çekebilecek bazı ek bilgileri rapor ediyoruz. Algılama / Engelleme aşamaları Yürütme öncesi (PRE): tehdit çalıştırılmadığında ve sistemde etkin olmadığında. Yürütme (AÇIK): tehdit çalıştırıldıktan hemen sonra. Yürütme sonrası (POST): tehdit çalıştırıldıktan ve eylemleri tanındıktan sonra