Microsoft Araçları, Hacker'ların En Uğrak Noktası Oldu ve Önü Alınamıyor
Microsoft’un ünlü sistem araçları, yani "Living Off the Land binaries" (LOLbin), 2024’te siber saldırganların gözdesi haline geldi.
Sophos’un yayınladığı 2024 Aktif Tehdit Raporu'nda yer alan bilgilere göre, 2024'ün ilk yarısından bugüne kadar hacker'lar, Microsoft sistem araçlarını kullanarak %51 oranında saldırı gerçekleştirdi. Bu, geçen senenin oranına göre oldukça ciddi bir yükseliş olmasından ötürü güvenlik uzmanları oldukça endişeli.
LOLbin Nedir? Neden Hedef Alınıyor?
LOLbin, işletim sistemlerinde varsayılan olarak bulunan ve genellikle sistem yönetimi için kullanılan yasal uygulamalar ve komut dosyalarıdır. PowerShell, cmd.exe ve net.exe gibi araçlar buna örnek gösterilebilir. Siber saldırganlar, bu güvenilir araçları kötü amaçlar için kullanarak zararlı aktivitelerini gizlemede oldukça başarılı oluyor.
Özellikle Uzaktan Masaüstü Protokolü (RDP), bu yılki saldırıların %89’unda yer aldı. Sophos’a göre, en sık kullanılan LOLbin araçlarının büyük bir kısmı sistem tarama ve keşif amacıyla kullanılıyor—ki bu da bilgisayar korsanlarının saldırıya geçmeden önce detaylı bir analiz yaptığının kanıtı.
LOLbin Saldırıları Nasıl Önlenir?
Sophos, bu tür saldırılardan korunmak için çok katmanlı bir güvenlik yaklaşımı öneriyor. İşte önerilen önlemler:
-
PowerShell gibi sıkça suistimal edilen araçlara erişimi sınırlandırın.
-
LOLbin araçlarının kullanımını izleyin ve loglayın.
-
EDR (Endpoint Detection and Response) çözümleri uygulayın.
-
Kullanmadığınız sistem araçlarını kapatın.
-
Çalışanlarınız varsa güvenlik ve oltama konusunda eğitim almalarını sağlayın.
-
Yazılım güncellemelerini düzenli olarak yaparak sistemlerinizi güncel tutun.
