Yapay zeka destekli yeni nesil saldırı araçları siber savunma sistemlerini tehdit ediyor
Siber güvenlik dünyasında "EDR Killer" olarak bilinen araçlar, işletmelerin en güçlü savunma hatlarını içeriden çökertiyor. Araştırmacılar, saldırganların meşru sürücüleri kötüye kullanarak sistemlere nasıl sızdığını ayrıntılarıyla belgeledi.
Siber güvenlik kuruluşu ESET, modern fidye yazılımı saldırılarındaki kritik bir dönüşümü mercek altına alan yeni araştırmasını yayımladı. Araştırma, siber saldırganların artık doğrudan verileri şifrelemek yerine, öncelikle sistemdeki savunma mekanizmalarını felç eden "EDR Killer" (EDR Katili) araçlarına odaklandığını ortaya koyuyor.
EDR Katili: Savunmayı içeriden çökerten strateji
Uç Nokta Tespit ve Yanıt (EDR) sistemleri, ağdaki şüpheli hareketleri gerçek zamanlı izleyerek gelişmiş tehditleri engellemek üzere tasarlanmış bir sistem. Ancak ESET'in analizi, saldırganların bu korumayı aşmak için BYOVD (Kendi Savunmasız Sürücünü Getir) tekniğini yaygınlaştırdığını gösteriyor.
Bu yöntemde saldırganlar, sisteme meşru ancak güvenlik açığı barındıran eski bir sürücü yüklüyor. Ardından bu sürücünün açığını kullanarak işletim sisteminin çekirdek (kernel) seviyesine ulaşıyor ve EDR yazılımının iletişimini kesiyor veya tamamen durduruyor. ESET, sahada aktif olarak kullanılan yaklaşık 90 farklı EDR katili aracını takibe almış durumda.
Yapay zeka destekli saldırı araçları dönemi
ESET araştırmacıları, yeni nesil EDR katillerinde yapay zeka (AI) kullanımına dair güçlü bulgular saptadı. Özellikle Warlock fidye yazılımı grubunun kullandığı araçlarda görülen "deneme-yanılma" mekanizması, insan yapımı kodlardan ziyade AI tarafından üretilen şablonlara işaret ediyor. Bu araçlar, sistemde çalışan bir açık bulana kadar farklı cihaz adlarını otomatik olarak döngüsel bir şekilde test ederek saldırının başarı şansını artırıyor.
Operasyonel değişim: İş ortaklarının araç seçimi
Araştırmadaki bir diğer önemli bulgu, "Hizmet Olarak Fidye Yazılımı" (RaaS) modelindeki iş bölümü oldu. Ana operasyonu yürüten gruplar şifreleme altyapısını sağlarken, güvenlik sistemlerini devre dışı bırakacak EDR katili aracının seçimi genellikle sahada saldırıyı gerçekleştiren iş ortaklarına bırakılıyor. Bu durum, saldırı ekosistemindeki araç çeşitliliğinin hızla artmasına neden oluyor.
ESET araştırmacısı Jakub Souček, fidye yazılımı saldırılarının artık otomatik yazılımlardan ziyade, engellere göre sürekli uyum sağlayan insan odaklı etkileşimli operasyonlar olduğunu vurguluyor. Uzmanlar, savunma hattının sadece yazılım yüklemeyi engellemekle sınırlı kalmaması, saldırgan çekirdek seviyesine ulaşmadan önce proaktif müdahale edilmesi gerektiğini hatırlatıyor.