Takip ve idare yazılımları BT ve ağ yöneticilerinin günlük işlerini yapmasına, sıkıntıları çözmesine ve çalışanlara teknik takviye sunmasına yardımcı oluyor. Lakin siber hatalılar da bu yasal araçlardan yararlanabiliyor ve bunları şirketlerin altyapılarına saldırmak için kullanabiliyor. Bu yazılımlarla uç noktalarda program çalıştırabiliyor, hassas bilgilere erişebiliyor, ziyanlı yazılımları tespit etmekte kullanılan güvenlik denetimlerini aşabiliyorlar.
Olay müdahalelerinden toplanan anonim datalar incelendiğinde saldırganların 18 farklı yasal aracı makus maksatlar için kullandığı görüldü. Bunlar ortasında en çok kullanılanı ise PowerShell (vakaların %25’i) oldu. Bu güçlü idare aracı bilgi sızdırmaktan ziyanlı yazılım çalıştırmaya kadar birçok maksat için kullanılabiliyor. PsExec isimli aracın ise hücumların %22’sinde kullanıldığı tespit edildi. Bu arayüz uygulaması uzak uç noktalarda süreçler çalıştırmakta kullanılıyor. Ağ ortamları hakkında bilgi toplamak için tasarlanan SoftPerfect Network Scanner ise %14 ile saldırganların en çok kullandığı üçüncü araç oldu.
Güvenlik tahlillerinin yasal araçlara düzenlenen atakları tespit etmesi daha sıkıntı oluyor. Yapılan süreçlerin planlı bir siber kabahat faaliyeti mi yoksa standart bir sistem idare misyonu mi olduğu kolay anlaşılamıyor. Örneğin, bir aydan uzun süren akınların ortalama uzunluğunun 122 olduğu tespit edildi. Tespit edilmeyen siber hatalılar kurbanların hassas bilgilerini toplayabildi.
Lakin, siber uzmanları yasal yazılımlarla yapılan makûs niyetli faaliyetlerin bazen çok çabuk ortaya çıktığını da belirtiyor. Ekseriyetle fidye yazılımı akınlarında kullanıldığı için hasar açıkça görülebiliyor. Kısa taarruzlarda ise ortalama müddet bir gün oldu.
Kaspersky Küresel Acil Durum Müdahale Takımı Yöneticisi Konstantin Sapronov, “Saldırganlar tespit edilmemek ve ağda uzun müddet görünmeden olabildiğince kalabilmek için çoklukla olağan kullanıcı işleri, yönetici vazifeleri ve sistem taraması için kullanılan yazılımlardan yararlanıyor. Bu araçlar sayesinde kurumsal ağda bilgi toplayıp dolaşabiliyor, yazılım ve donanım ayarlarını değiştirebiliyor ve ziyanlı faaliyetlerde bulunabiliyorlar. Örneğin, yasal yazılımlarla bilgileri şifrelemeleri mümkün. Yasal yazılımlar saldırganların güvenlik analistlerinden saklanmasına da yardımcı oluyor. Taarruzlar ekseriyetle hasar verildikten sonra fark ediliyor. Bu araçların kullanımından vazgeçmek de birçok nedenden ötürü mümkün değil. Lakin düzgün tutulan kayıtlar ve takip sistemleri ağdaki kuşkulu faaliyetleri tespit etmeye ve karmaşık atakları erkenden fark etmeye yardımcı oluyor.” dedi.
Uzaktan idare yazılımlarının bir altyapıya sızmada kullanılmasını önlemek için Kaspersky şu tedbirlerin alınmasını tavsiye ediyor:
Harici IP adreslerinin uzaktan idare araçlarını kullanmasını kısıtlayın. Uzaktan denetim arayüzlerine sırf belli sayıda uç noktadan erişilmesini sağlayın.
Tüm BT sistemleri için sıkı parola siyaseti belirleyin ve çok kademeli doğrulama kullanın.
Çalışanlara kısıtlı yetki tanıyın, yüksek yetkili hesapları sadece işini tamamlamak için gereksinim duyanlara verin.