İçeriden öğrenilen bilgiler saldırganların tespitten kaçmasına ve güvenlik politikalarını atlamasına yardımcı oluyor.
HP, tehdit aktörlerinin tespit araçlarını atlatmak için farklı saldırı kombinasyonlarını oyuncak tuğlalar gibi nasıl bir araya getirdiğini gösteren üç aylık HP Wolf Security Tehdit Öngörüleri Raporu’nu yayınladı.
HP Wolf Security, bilgisayarlardaki tespit araçlarını atlatan tehditleri izole ederek, hızla değişen siber suç ortamında siber suçlular tarafından kullanılan en son teknikler hakkında ilginç tesptlerde bulundu. HP Wolf Security paydaşları bugüne kadar 30 milyardan fazla e-posta ekine, web sayfasına tıkladı ve hiçbir ihlal bildirilmeden dosya indirdi.
Araştırmacılar, HP Wolf Security kullanan milyonlarca uç noktadan elde edilen verilere dayanarak şunları buldu:
- Tuğla duvar örercesine hazırlanan saldırılar siber suçlular için oyun gibi: Saldırı zincirleri genellikle belli bir formül kullanan ve başarısı kanıtlanmış yollardan oluşuyor. Ancak yaratıcı QakBot saldırıları, tehdit aktörlerinin daha önce eşine rastlanmamış bulaşma zincirleri oluşturmak için farklı blokları birbirine bağladığını gördü. Farklı dosya türlerini ve teknikleri değiştirerek tespit araçlarını ve güvenlik politikalarını atlatabildiler. HP tarafından 2. çeyrekte analiz edilen QakBot bulaşma zincirlerinin yüzde 32’sinin ilk kez rastlanan zincirler olduğu görüldü.
- Farkı bulun – blogger mı keylogger mı? Son Aggah saldırılarının arkasındaki siber suçlular, popüler blog platformu Blogspot’ta kötü amaçlı kod sakladı. Kodu meşru bir kaynakta gizleyerek, savunucuların bir kullanıcının blog mu okuduğunu yoksa bir saldırı mı başlattığını anlamasını zorlaştırdı. Bunu yapan tehdit aktörleri daha sonra Windows sistemleri hakkındaki bilgilerini kullanarak kullanıcıların makinelerindeki bazı kötü amaçlı yazılımdan koruma özelliklerini devre dışı bırakıyor, XWorm veya AgentTesla Uzaktan Erişim Truva Atı’nı (RAT) çalıştırıyor ve hassas bilgileri çalıyor.
- Protokole ters uygulamalar: HP ayrıca tipik olarak alan adları hakkındaki basit bilgilere erişmek için kullanılan DNS TXT kayıt sorgusunu kullanan ve böylece AgentTesla RAT’ı yayan başka Aggah saldırıları da tespit etti. Tehdit aktörleri, DNS protokolünün güvenlik ekipleri tarafından sıklıkla izlenmediğini veya korunmadığını bildiğinden, bu saldırının tespit edilmesi son derece zor.
- Çok dilli zararlı yazılım: Bu yeni saldırı ise tespit edilmekten kaçınmak için birden fazla programlama dili kullanıyor. İlk olarak, Go dilinde yazılmış bir şifreleyici kullanarak yükünü şifreliyor ve genellikle onu tespit edecek zararlı yazılımdan koruma tarama özelliklerini devre dışı bırakıyor. Saldırı daha sonra kurbanın işletim sistemiyle etkileşime geçmek ve .NET kötü amaçlı yazılımını bellekte çalıştırmak için dili C++’a çevirerek bilgisayarda minimum iz bırakıyor.
HP Wolf Security tehdit araştırma ekibinden Zararlı Yazılımlar Kıdemli Analisti Patrick Schläpfer şu yorumu yapıyor: “Günümüzün saldırganları daha iyi organize oluyor ve daha bilgili hale geliyor. İşletim sisteminin iç kısımlarını araştırıp analiz ederek açıklardan daha kolay faydalanabiliyorlar. Hangi kapıları zorlayacaklarını bilerek ve alarm zillerini çaldırmadan, nispeten basit teknikleri çok etkili bir şekilde kullanarak dahili sistemlerde kolaylıkla gezinebiliyorlar.”
Rapor, siber suç gruplarının güvenlik politikalarını ve tespit araçlarını atlatmak için saldırı yöntemlerini nasıl çeşitlendirdiğini detaylandırıyor. Temel bulgular şunları içeriyor:
- HP tarafından analiz edilen vakaların yüzde 44’ünde kullanılan arşivler, beşinci çeyrekte de en popüler zararlı yazılım dağıtım türü oldu.
- İkinci çeyrekte, HP Wolf Security tarafından durdurulan HTML tehditlerinde birinci çeyreğe kıyasla yüzde 23’lük bir artış görüldü.
- Yürütülebilir dosyalarda 1. çeyrekten 2. çeyreğe yüzde 14’ten yüzde 18’e yüzde 4 puanlık bir artış oldu, bunun başlıca nedeni tarayıcı ele geçirme kötü amaçlı yazılımıyla yazılımı paketleyen PDFpower.exe dosyasının kullanılmasıydı.
- HP, saldırganların makro çalıştırması daha zor olan Office formatlarından uzaklaşması nedeniyle, “spreadsheet” zararlı yazılımlarında 1. çeyrekte 4. çeyreğe kıyasla yüzde 6 puanlık bir düşüş (yüzde 19’dan yüzde 13’e) kaydetti.
- HP Sure Click tarafından tespit edilen e-posta tehditlerinin en az yüzde 12’si 2. çeyrekte bir veya daha fazla e-posta ağ geçidi tarayıcısını atladı.
- İkinci çeyrekte en büyük tehdit vektörleri e-posta (yüzde 79) ve tarayıcı indirmeleri (yüzde 12) oldu.
HP Kişisel Sistemler Küresel Güvenlik Başkanı Dr. Ian Pratt şu yorumu yapıyor:
“Bulaşma zincirleri farklılık gösterse de, başlatma yöntemleri aynı kalıyor; yani sonuçta kaçınılmaz olarak kullanıcı bir şeye tıklıyor. Kurumlar, bulaşma zincirini ikinci kez tahmin etmeye çalışmak yerine, e-posta eklerini açma, bağlantılara tıklama ve tarayıcı indirmeleri gibi riskli faaliyetleri izole etmeli ve kontrol altına almalı.”
HP Wolf Security, kullanıcıları verimliliklerini etkilemeden korumak için riskli görevleri uç noktada çalışan yalıtılmış, donanımla güçlendirilmiş sanal makinelerde çalıştırıyor. Ayrıca, virüs bulaşma girişimlerinin ayrıntılı izlerini de yakalıyor. HP’nin uygulama izolasyonu teknolojisi, diğer güvenlik araçlarını atlatan tehditleri azaltıyor ve yeni izinsiz giriş teknikleri ve tehdit aktörlerinin davranışları hakkında benzersiz bilgiler sağlıyor.
