Tehdit İstihbaratı Güvenilir mi? Chalubo RAT Etiketi Yanıltıcı Çıktı Yazılım

Tehdit İstihbaratı Güvenilir mi? Chalubo RAT Etiketi Yanıltıcı Çıktı

Siber güvenlik uzmanı, tehdit akışının 'Chalubo RAT' olarak etiketlediği bir kümenin aslında farklı bir kötü amaçlı yazılım olduğunu keşfetti.

Siber güvenlik alanında iki yıl boyunca olay müdahale ve tehdit istihbaratı yapmış biri olarak, en sıkıcı alışkanlığımı korumayı tercih ederim: Bir istihbarat parçasını, tanımladığı şeyle karşılaştırmadan harekete geçmem. Bu yavaş ve meşakkatli bir süreçtir; neredeyse kimse yapmaz çünkü doğrulama, akışın kazandırması gereken zamanı tam tersine tüketir. Genelde raporu okur, başımızı sallar ve yolumuza devam ederiz. Çoğu hafta bu yeterli olur. Ama yetmediği haftaları hatırlarım; bunlardan biri, kendinden çok emin bir tehdit akışının yanıldığı bir vakadır.

Bir yükleyici operasyonunun arkasındaki altyapıyı haritalandırırken ticari bir platformda tek bir servis portunu tarıyordum. Geriye bir küme ana bilgisayar döndü; hepsi aynı etikete sahipti: Chalubo RAT. Etiket beni durdurmadı, ama meta veri durdurdu. Kümedeki her ana bilgisayar aynı ilk görülme tarihini taşıyordu, gün bazında. Gerçek altyapı hiçbir zaman bu kadar temiz görünmez. Operatörler ana bilgisayarları haftalar içinde, zaman buldukça birer birer kurar. Tüm bir kümenin aynı ilk görülme tarihini paylaşması neredeyse her zaman, o tarihin ana bilgisayarların gerçekten canlı olduğu gün değil, akışın veri toplama hattının o grubu işlediği gün olduğu anlamına gelir. Artık güvenmediğim iki şey vardı: aile adı ve fazla mükemmel tarih. Bunu çözmenin en kolay yolu akışı kapatıp kötü amaçlı yazılıma bakmaktı.

Herhangi bir tehdit istihbaratını sorgulamadan kabul etmenin tehlikesi, yanlış yönlendirilmiş kaynaklar ve zaman kaybıdır. Bu örnekte, tüm kümeyi Chalubo olarak etiketleyen akış, aslında tamamen farklı bir kötü amaçlı yazılım ailesini işaret ediyordu. Doğrulama yapılmadığında, savunma ekipleri yanlış imzalar üretir, yanlış IOC'ler paylaşır ve gerçek tehdidi gözden kaçırabilir. Bu olay bize, otomatik tehdit akışlarının bile hata yapabileceğini ve her istihbarat parçasının, özellikle de çok temiz görünenlerin, elle doğrulanması gerektiğini hatırlatıyor.

Sistem Güvenliği

Sonuç olarak, tehdit istihbaratına körü körüne güvenmek yerine, her zaman bir sorgulama ve doğrulama alışkanlığı edinmek kritik öneme sahiptir. Bu yavaş ve zahmetli bir süreç olsa da, yanlış yönlendirilmiş bir müdahalenin maliyeti çok daha yüksektir. Unutmayın, bir tehdit akışı size bir şeyin adını söyleyebilir, ama gerçekte ne olduğunu ancak siz keşfedebilirsiniz.

Paylaş: