Palo Alto Networks'ün Unit 42 ekibinin paylaştığı son rapor, siber suçluların EDR çözümlerini atlatmak için kullandıkları teknikleri ve araçları detaylı bir şekilde ortaya koyuyor. Özellikle dikkatimi çeken nokta, saldırganların Cortex XDR'ı test etmek için kurdukları sanal sistemlerde yaptıkları OpSec hataları. Bu hatalar, siber güvenlik araştırmacılarının tehdit aktörlerinin kimliklerini ve kullandıkları araçları tespit etmesine olanak sağlamış. Bu durum, en gelişmiş siber saldırganların bile temel güvenlik prensiplerini ihmal edebildiğini gösteriyor.
Atera RMM üzerinden ağa erişim satın alan saldırganlar, BYOVD (Bring Your Own Vulnerable Driver) tekniğini kullanarak geliştirdikleri bir EDR bypass aracını test etmeye çalışmışlar. İlginç olan, saldırganların test için kurdukları sanal sistemler üzerinden Unit 42 araştırmacıları, tehdit aktörlerinin kullandığı araçlara ve dosyalara erişim sağlayabilmesi. Sistemde bulunan ContiTraining.rar dosyası, Mimikatz araçları ve çeşitli shellcode oluşturma araçları, saldırganların kapsamlı bir araç setine sahip olduğunu gösteriyor.
Özellikle dikkat çeken nokta, EDRSandBlast kaynak kodunun modifiye edilerek oluşturulan "disabler.exe" aracının XSS ve Exploit forumlarında satışa sunulması. Araştırmacılar, saldırganın OpSec hatalarından yararlanarak Kazakistan merkezli bir şirkette çalışan kişinin kimliğini tespit edebildiler. Raporda bahsedilen EDR bypass aracının, EDRSandBlast'ın kaynak kodunu kullanarak geliştirilmiş olması, açık kaynak güvenlik araçlarının kötüye kullanımına dair endişeleri bir kez daha gündeme getiriyor. Siber suçluların, meşru güvenlik araçlarını modifiye ederek kendi amaçları doğrultusunda kullanmaları, güvenlik topluluğunun karşı karşıya olduğu zorluklardan biri.
Bu vakadan çıkarılacak en önemli ders olarak da şunun altını çizebiliriz; şirketlerin EDR çözümlerinin yapılandırmasını ve politikalarını düzenli olarak gözden geçirmeleri çok ama çok elzem. Özellikle agent tampering protection özelliğinin aktif olduğundan emin olunması, bu tür bypass girişimlerine karşı kritik öneme sahip.
TA Phone Home: EDR Evasion Testing Reveals Extortion Actor's Toolkit
A threat actor attempted to use an AV/EDR bypass tool in an extortion attempt. Instead, the tool provided Unit 42 insight into the threat actor.