BYOVD (Kendi Savunmasız Sürücünüzü Getirin), EDR katilleri olarak tehdit aktörleri arasında hâlâ çok popüler.
Bunun bir nedeni, bunun, siber suçlulara, kötü amaçlı yazılımları gizlemekten oturum açma kimlik bilgilerini gözetlemeye ve EDR çözümlerini devre dışı bırakmayı denemeye kadar çok çeşitli seçenekler sunan çekirdek düzeyinde bir saldırı olasılığını arttırmasıdır. Sophos güvenlik uzmanları Andreas Klopsch ve Matt Wixey, son altı ayda Terminatör araçlarıyla ilgili olanları yakından incelediler ve bunları "Geri dönecek: Saldırganlar Terminatör aracını ve türevlerini hâlâ kötüye kullanıyor" raporunda özetlediler.
Sürücü kaçakçılığı
BYOVD, tehdit aktörlerinin çekirdek düzeyinde ayrıcalıklar kazanmak için bilinen ancak savunmasız sürücüleri güvenliği ihlal edilmiş bir bilgisayara enjekte ettiği bir saldırı sınıfıdır. Siber suçluların savunmasız sürücüleri seçmesi kolaydır: Örneğin, açık kaynak deposu loldrivers.io, ilgili imzalar ve karmalar da dahil olmak üzere savunmasız sürücüler için 364 girişi listeler. Uygun sürücülerin bu kolay tanımlanması, BYOVD saldırılarının artık yalnızca son derece profesyonel tehdit aktörleri için değil, aynı zamanda daha az karmaşık fidye yazılımı saldırganları tarafından da gerçekleştirilebilmesinin nedenlerinden biridir.
BYOVD'nin teknik açıdan daha az yetkin siber suçlular arasında devam eden popülaritesinin bir başka olası nedeni de, ihtiyaç duydukları kitleri ve araçları suç forumlarında neredeyse hazır olarak satın alabilmeleridir. Bu araçlardan biri, Mayıs 2023'te, tanınmış tehdit aktörü "spyboy"un Rusça fidye yazılımı RAMP forumu üzerinde Terminatör adlı bir aracı teklif etmesiyle özellikle ilgi gördü. Aracın maliyeti 300 ila 3.000 ABD Doları arasında olmalı ve 24 güvenlik ürününü devre dışı bırakabilmelidir.
Şirketler kendilerini bu şekilde koruyabilirler
Sophos da dahil olmak üzere casus çocukların listesindeki güvenlik sağlayıcılarının çoğu, sürücü çeşitlerini araştırmak ve koruma önlemleri geliştirmek için hızlı bir şekilde harekete geçti. Sophos, kendinizi BYOVD saldırılarına karşı korumak için dört adım önermektedir:
- düşünmekUç nokta güvenlik ürününün kurcalamaya karşı koruma uygulayıp uygulamadığı.
- Uygulama BYOVD saldırıları genellikle ayrıcalık yükseltme ve UAC atlama yoluyla etkinleştirildiğinden Windows güvenlik rollerinde katı hijyen.
- Tüm işletim sistemleri ve uygulamaların her zaman güncel olması ve eski yazılımların kaldırılması.
- Aufnahme Güvenlik açığı bulunan sürücüyü güvenlik açığı yönetimi programına ekleyin. Tehdit aktörleri, güvenliği ihlal edilmiş bir sistemde zaten mevcut olan savunmasız meşru sürücülerden yararlanmaya çalışabilir.
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.