Tehdit İstihbaratı 'Chalubo' Derken, Zararlı Yazılım Başka Şey Söyledi Yazılım

Tehdit İstihbaratı 'Chalubo' Derken, Zararlı Yazılım Başka Şey Söyledi

Bir tehdit feed'i 'Chalubo RAT' dedi. İki yıllık deneyimli bir uzman, metadata'daki şüpheli detayı fark edip manuel inceleme yapınca gerçeği keşfetti.

Siber güvenlik dünyasında tehdit istihbaratı feed'leri, analistlerin işini kolaylaştırmak için var. Ancak bu feed'lerin sağladığı etiketler ve veriler, her zaman doğru olmayabilir. İki yıllık olay müdahale ve tehdit istihbaratı deneyimine sahip bir uzman, bir feed'in 'Chalubo RAT' olarak etiketlediği bir kümeyi incelerken işlerin yolunda gitmediğini fark etti.

Uzmana göre, feed'lerin sağladığı bilgilere güvenmeden önce mutlaka kontrol etmek gerekiyor. 'Neredeyse hiç kimse bunu yapmıyor çünkü bu kontrol, feed'in kurtarması gereken zamanı tam tersine yiyip bitiriyor' diyor. Ancak bu alışkanlık, birçok yanlış pozitifi ve potansiyel tehdidi ortaya çıkarabiliyor.

Söz konusu olayda, bir yükleyici operasyonunun arkasındaki altyapıyı haritalamak için ticari bir platform üzerinden tek bir servis portu taranmış. Tarama sonucunda bir küme host bulunmuş ve hepsi 'Chalubo RAT' olarak etiketlenmiş. Ancak metadata'daki bir detay uzmanın dikkatini çekmiş: Tüm hostlar aynı ilk görülme tarihine sahipti.

Gerçek operasyonel altyapıda, saldırganlar hostları haftalar boyunca birer birer ayağa kaldırır. Tüm bir kümenin aynı ilk görülme tarihine sahip olması, genellikle feed'in bu hostları aynı anda toplu olarak işlediği anlamına gelir. Bu da tarihin gerçek bir ilk görülme değil, feed'in veritabanına eklenme tarihi olduğunu gösterir.

Detaylar ve Etkileri

Bu iki şüpheli nokta - yanlış aile etiketi ve çok temiz görünen tarih - uzmanı feed'i kapatıp doğrudan zararlı yazılımı incelemeye yöneltmiş. Yapılan manuel analiz sonucunda, aslında tehdidin Chalubo olmadığı, farklı bir zararlı yazılım ailesine ait olduğu ortaya çıkmış.

Uzmanların Görüşleri

Bu olay, tehdit istihbaratı kullanırken 'doğrulama' adımının ne kadar kritik olduğunu bir kez daha gösteriyor. Feed'ler hızlı bilgi sağlasa da, özellikle metadata gibi detaylarda tutarsızlıklar varsa mutlaka manuel inceleme yapılmalı. Aksi halde yanlış etiketlerle saatlerce boşuna uğraşmak veya tersine gerçek bir tehdidi gözden kaçırmak işten bile değil.

Kaynak: csoonline.com

Paylaş: