EDR (Endpoint Detection & Response) sistemleri, imza tabanlı korumanın ötesine geçerek davranış analizi yapar. Ancak bu, saldırganlar için yeni bir oyun alanı oluşturmuştur.
Yaygın EDR bypass teknikleri:
-
Living Off The Land (LOLBins) kullanımı (PowerShell, WMI, MSBuild)
-
Bellek içi payload çalıştırma (fileless execution)
-
API hooking tespiti yapan anti-EDR loader’lar
-
AMSI ve ETW patchleme teknikleri
-
Process injection (Early Bird, APC Injection)
Modern saldırılar disk üzerinde iz bırakmadan, tamamen memory-resident şekilde gerçekleşmektedir.
Savunma tarafında:
-
Kernel-level telemetry
-
User-mode davranış korelasyonu
-
EDR + SIEM entegrasyonu
-
Threat hunting ekipleri
EDR sistemleri güçlüdür ancak yanlış yapılandırıldığında sessizce aşılabilir.
Yorumlar (0)
Yorum yapmak için giriş yapın.
Henüz yorum yapılmamış. İlk yorumu siz yapın!