Tehdit aktörleri, saldırılarının altyapısını adım adım kurguluyor

HP, tehdit aktörlerinin tespit araçlarını atlatmak için farklı saldırı kombinasyonlarını oyuncak tuğlalar gibi nasıl bir araya getirdiğini gösteren üç aylık HP Wolf Security Tehdit Öngörüleri Raporu’nu yayınladı. HP Wolf Security, bilgisayarlardaki tespit araçlarını atlatan tehditleri izole ederek, hızla değişen siber suç ortamında siber suçlular tarafından kullanılan en son teknikler hakkında ilginç tesptlerde bulundu. HP Wolf Security paydaşları bugüne kadar 30 milyardan fazla e-posta ekine, web sayfasına tıkladı ve hiçbir ihlal bildirilmeden dosya indirdi. Araştırmacılar, HP Wolf Security kullanan milyonlarca uç noktadan elde edilen verilere dayanarak şunları buldu:

• Saldırı zincirleri genellikle belli bir formül kullanan ve başarısı kanıtlanmış yollardan oluşuyor. Ancak yaratıcı QakBot saldırıları, tehdit aktörlerinin daha önce eşine rastlanmamış bulaşma zincirleri oluşturmak için farklı blokları birbirine bağladığını gördü. Farklı dosya türlerini ve teknikleri değiştirerek tespit araçlarını ve güvenlik politikalarını atlatabildiler. HP tarafından 2. çeyrekte analiz edilen QakBot bulaşma zincirlerinin %32’sinin ilk kez rastlanan zincirler olduğu görüldü.
• Son Aggah saldırılarının arkasındaki siber suçlular, popüler blog platformu Blogspot’ta kötü amaçlı kod sakladı. Kodu meşru bir kaynakta gizleyerek, savunucuların bir kullanıcının blog mu okuduğunu yoksa bir saldırı mı başlattığını anlamasını zorlaştırdı. Bunu yapan tehdit aktörleri daha sonra Windows sistemleri hakkındaki bilgilerini kullanarak kullanıcıların makinelerindeki bazı kötü amaçlı yazılımdan koruma özelliklerini devre dışı bırakıyor, XWorm veya AgentTesla Uzaktan Erişim Truva Atı’nı (RAT) çalıştırıyor ve hassas bilgileri çalıyor.
• HP, tipik olarak alan adları hakkındaki basit bilgilere erişmek için kullanılan DNS TXT kayıt sorgusunu kullanan ve böylece AgentTesla RAT’ı yayan başka Aggah saldırıları da tespit etti. Tehdit aktörleri, DNS protokolünün güvenlik ekipleri tarafından sıklıkla izlenmediğini veya korunmadığını bildiğinden, bu saldırının tespit edilmesi son derece zor.
• Bu yeni saldırı ise tespit edilmekten kaçınmak için birden fazla programlama dili kullanıyor. İlk olarak, Go dilinde yazılmış bir şifreleyici kullanarak yükünü şifreliyor ve genellikle onu tespit edecek zararlı yazılımdan koruma tarama özelliklerini devre dışı bırakıyor. Saldırı daha sonra kurbanın işletim sistemiyle etkileşime geçmek ve .NET kötü amaçlı yazılımını bellekte çalıştırmak için dili C++’a çevirerek bilgisayarda minimum iz bırakıyor.

Saldırganlar artık daha organize
HP Wolf Security tehdit araştırma ekibinden Zararlı Yazılımlar Kıdemli Analisti Patrick Schläpfer, “Günümüzün saldırganları daha iyi organize oluyor ve daha bilgili hale geliyor. İşletim sisteminin iç kısımlarını araştırıp analiz ederek açıklardan daha kolay faydalanabiliyorlar. Hangi kapıları zorlayacaklarını bilerek ve alarm zillerini çaldırmadan, nispeten basit teknikleri çok etkili bir şekilde kullanarak dahili sistemlerde kolaylıkla gezinebiliyorlar.”

Rapor, siber suç gruplarının güvenlik politikalarını ve tespit araçlarını atlatmak için saldırı yöntemlerini nasıl çeşitlendirdiğini detaylandırıyor. Temel bulgular şunları içeriyor:
• HP tarafından analiz edilen vakaların %44’ünde kullanılan arşivler, beşinci çeyrekte de en popüler zararlı yazılım dağıtım türü oldu.
• İkinci çeyrekte, HP Wolf Security tarafından durdurulan HTML tehditlerinde birinci çeyreğe kıyasla %23’lük bir artış görüldü.
• Yürütülebilir dosyalarda 1. çeyrekten 2. çeyreğe %14’ten %18’e %4 puanlık bir artış oldu, bunun başlıca nedeni tarayıcı ele geçirme kötü amaçlı yazılımıyla yazılımı paketleyen PDFpower.exe dosyasının kullanılmasıydı.
• HP, saldırganların makro çalıştırması daha zor olan Office formatlarından uzaklaşması nedeniyle, “spreadsheet” zararlı yazılımlarında 1. çeyrekte 4. çeyreğe kıyasla %6 puanlık bir düşüş (%19’dan %13’e) kaydetti.
• HP Sure Click tarafından tespit edilen e-posta tehditlerinin en az %12’si 2. çeyrekte bir veya daha fazla e-posta ağ geçidi tarayıcısını atladı.
• İkinci çeyrekte en büyük tehdit vektörleri e-posta (%79) ve tarayıcı indirmeleri (%12) oldu.

HP Inc. Kişisel Sistemler Küresel Güvenlik Başkanı Dr. Ian Pratt şu yorumu yapıyor: “Bulaşma zincirleri farklılık gösterse de, başlatma yöntemleri aynı kalıyor; yani sonuçta kaçınılmaz olarak kullanıcı bir şeye tıklıyor. Kurumlar, bulaşma zincirini ikinci kez tahmin etmeye çalışmak yerine, e-posta eklerini açma, bağlantılara tıklama ve tarayıcı indirmeleri gibi riskli faaliyetleri izole etmeli ve kontrol altına almalı.”

HP Wolf Security, kullanıcıları verimliliklerini etkilemeden korumak için riskli görevleri uç noktada çalışan yalıtılmış, donanımla güçlendirilmiş sanal makinelerde çalıştırıyor. Ayrıca, virüs bulaşma girişimlerinin ayrıntılı izlerini de yakalıyor. HP’nin uygulama izolasyonu teknolojisi, diğer güvenlik araçlarını atlatan tehditleri azaltıyor ve yeni izinsiz giriş teknikleri ve tehdit aktörlerinin davranışları hakkında benzersiz bilgiler sağlıyor.