Saldırı Tekniği
RPC Saldırıları
RPC, kurumsal ağlarda sistemler arasındaki iletişim için yaygın olarak kullanılan bir protokoldür. Aynı zamanda saldırganlar için de birincil hedeftir.
Tanım
RPC saldırısı nedir?
Bu saldırı türü, bir bilgisayar programının uzak bir bilgisayarda bulunan başka bir programdan bir hizmet talep etmesine veya bir prosedürü çalıştırmasına olanak tanıyan bir protokol olan uzak prosedür çağrısından (RPC) yararlanır. Şirketler, ağa bağlı sistemlerin diğer programın yapısı veya ağın özellikleri hakkında ayrıntılı bilgi gerektirmeden iletişim kurabilmesi ve işlem gerçekleştirebilmesi için bunu kullanır.
RPC, işletim sistemleri arasındaki iletişimi basitleştirmek için yaygın olarak kullanılsa da, saldırganların yararlanabileceği önemli bir güvenlik açığı da oluşturmaktadır. RPC saldırılarında saldırganlar protokolü yetkisiz erişim elde etmek, ayrıcalıkları artırmak veya uzaktaki bir sistemde kötü amaçlı kod çalıştırmak için kullanır.
Nasıl çalışır
RPC saldırıları nasıl çalışır?
Saldırganlar RPC'leri çeşitli kötü niyetli faaliyetler gerçekleştirmek için kötüye kullanırlar:
- Ayrıcalıkları yükseltme: Saldırganlar genellikle ayrıcalıkları yükseltmek ve daha üst düzey izinler elde ettikten sonra komutları yürütmek için RPC güvenlik açıklarını kötüye kullanır. Bu tür saldırılar, kötü yapılandırılmış erişim denetimlerinden veya RPC hizmetlerindeki belirli güvenlik açıklarından kaynaklanabilir.
- Uzak kod çalıştırma: Bu, saldırganlar hedef sistemde rastgele kod çalıştırmak için RPC'deki güvenlik açıklarından yararlandığında gerçekleşir. Saldırgan, kötü niyetle hazırlanmış bir RPC isteği göndererek kurbanın makinesinde yetkisi olmadan komutlar veya komut dosyaları çalıştırabilir.
- Yanal hareket etme: RPC sistemler arasında iletişimi kolaylaştırdığından, saldırganlar genellikle bir ağ üzerinde yanal olarak hareket etmek için bu sistemden yararlanırlar. Saldırgan, başlangıçtaki bir uç nokta adresini tehlikeye atarak ve iletişim için RPC'yi kullanarak diğer ağ sistemlerine erişebilir ve kalıcılığını koruyabilir.
Saldırganlar bunu neden kullanır?
Saldırganlar neden uzaktan yordam çağrısı kullanır?
Saldırganlar RPC'yi kullanırlar çünkü bir port taraması veya port taramasına kıyasla tespit edilmesi genellikle daha zordur. Keşif yaparken radarın altından uçmak için kullanabilirler. Bu nedenle, ağ paylaşımları, hizmetler, kullanıcılar ve diğer kaynaklar hakkında ayrıntılar elde etmek için RPC sunucusu güvenlik açıklarından sıklıkla yararlanılır.
Platform Tespitleri
RPC saldırıları nasıl tespit edilir ve önlenir
RPC saldırıları, RPC'nin geniş işlevselliği ve ağ erişilebilirliği nedeniyle ciddi bir güvenlik sorunudur. Siber güvenlik uzmanları, ağ faaliyetlerini izleyerek, yamaları derhal uygulayarak ve RPC kötüye kullanımı belirtilerini izlemek için Vectra AI Platformu gibi araçları kullanarak bu tehditlerin riskini azaltabilir. Bu nedenle Vectra AI , saldırganların ağ kaynakları hakkında bilgi toplamak için RPC protokolünü kullanıyor gibi göründüklerini belirlemek için RPC recon ve RPC targeted recon gibi AI odaklı tespitler sağlar, böylece SOC ekipleri onları hızlı bir şekilde durdurabilir.
