HP yaratıcı yollar bulan tehdit aktörlerinin saldırıların altyapısını tuğla gibi örmeye başladığını tespit etti
İçeriden öğrenilen bilgiler saldırganların tespitten kaçmasına ve güvenlik politikalarını atlamasına yardımcı oluyor.
HP, tehdit aktörlerinin tespit araçlarını atlatmak için farklı saldırı kombinasyonlarını oyuncak tuğlalar gibi nasıl bir araya getirdiğini gösteren üç aylık HP Wolf Security Tehdit Öngörüleri Raporu'nu yayınladı.
HP Wolf Security, bilgisayarlardaki tespit araçlarını atlatan tehditleri izole ederek, hızla değişen siber suç ortamında siber suçlular tarafından kullanılan en son teknikler hakkında ilginç tesptlerde bulundu. HP Wolf Security paydaşları bugüne kadar 30 milyardan fazla e-posta ekine, web sayfasına tıkladı ve hiçbir ihlal bildirilmeden dosya indirdi.
Araştırmacılar, HP Wolf Security kullanan milyonlarca uç noktadan elde edilen verilere dayanarak şunları buldu:
- Tuğla duvar örercesine hazırlanan saldırılar siber suçlular için oyun gibi: Saldırı zincirleri genellikle belli bir formül kullanan ve başarısı kanıtlanmış yollardan oluşuyor. Ancak yaratıcı QakBot saldırıları, tehdit aktörlerinin daha önce eşine rastlanmamış bulaşma zincirleri oluşturmak için farklı blokları birbirine bağladığını gördü. Farklı dosya türlerini ve teknikleri değiştirerek tespit araçlarını ve güvenlik politikalarını atlatabildiler. HP tarafından 2. çeyrekte analiz edilen QakBot bulaşma zincirlerinin %32'sinin ilk kez rastlanan zincirler olduğu görüldü.
- Farkı bulun - blogger mı keylogger mı? Son Aggah saldırılarının arkasındaki siber suçlular, popüler blog platformu Blogspot'ta kötü amaçlı kod sakladı. Kodu meşru bir kaynakta gizleyerek, savunucuların bir kullanıcının blog mu okuduğunu yoksa bir saldırı mı başlattığını anlamasını zorlaştırdı. Bunu yapan tehdit aktörleri daha sonra Windows sistemleri hakkındaki bilgilerini kullanarak kullanıcıların makinelerindeki bazı kötü amaçlı yazılımdan koruma özelliklerini devre dışı bırakıyor, XWorm veya AgentTesla Uzaktan Erişim Truva Atı'nı (RAT) çalıştırıyor ve hassas bilgileri çalıyor.
- Protokole ters uygulamalar: HP ayrıca tipik olarak alan adları hakkındaki basit bilgilere erişmek için kullanılan DNS TXT kayıt sorgusunu kullanan ve böylece AgentTesla RAT'ı yayan başka Aggah saldırıları da tespit etti. Tehdit aktörleri, DNS protokolünün güvenlik ekipleri tarafından sıklıkla izlenmediğini veya korunmadığını bildiğinden, bu saldırının tespit edilmesi son derece zor.
- Çok dilli zararlı yazılım: Bu yeni saldırı ise tespit edilmekten kaçınmak için birden fazla programlama dili kullanıyor. İlk olarak, Go dilinde yazılmış bir şifreleyici kullanarak yükünü şifreliyor ve genellikle onu tespit edecek zararlı yazılımdan koruma tarama özelliklerini devre dışı bırakıyor. Saldırı daha sonra kurbanın işletim sistemiyle etkileşime geçmek ve .NET kötü amaçlı yazılımını bellekte çalıştırmak için dili C++'a çevirerek bilgisayarda minimum iz bırakıyor.
HP Wolf Security tehdit araştırma ekibinden Zararlı Yazılımlar Kıdemli Analisti Patrick Schläpfer şu yorumu yapıyor: “Günümüzün saldırganları daha iyi organize oluyor ve daha bilgili hale geliyor. İşletim sisteminin iç kısımlarını araştırıp analiz ederek açıklardan daha kolay faydalanabiliyorlar. Hangi kapıları zorlayacaklarını bilerek ve alarm zillerini çaldırmadan, nispeten basit teknikleri çok etkili bir şekilde kullanarak dahili sistemlerde kolaylıkla gezinebiliyorlar.”
Rapor, siber suç gruplarının güvenlik politikalarını ve tespit araçlarını atlatmak için saldırı yöntemlerini nasıl çeşitlendirdiğini detaylandırıyor. Temel bulgular şunları içeriyor:
- HP tarafından analiz edilen vakaların %44'ünde kullanılan arşivler, beşinci çeyrekte de en popüler zararlı yazılım dağıtım türü oldu.
- İkinci çeyrekte, HP Wolf Security tarafından durdurulan HTML tehditlerinde birinci çeyreğe kıyasla %23'lük bir artış görüldü.
- Yürütülebilir dosyalarda 1. çeyrekten 2. çeyreğe %14'ten %18'e %4 puanlık bir artış oldu, bunun başlıca nedeni tarayıcı ele geçirme kötü amaçlı yazılımıyla yazılımı paketleyen PDFpower.exe dosyasının kullanılmasıydı.
- HP, saldırganların makro çalıştırması daha zor olan Office formatlarından uzaklaşması nedeniyle, "spreadsheet" zararlı yazılımlarında 1. çeyrekte 4. çeyreğe kıyasla %6 puanlık bir düşüş (%19'dan %13'e) kaydetti.
- HP Sure Click tarafından tespit edilen e-posta tehditlerinin en az %12'si 2. çeyrekte bir veya daha fazla e-posta ağ geçidi tarayıcısını atladı.
- İkinci çeyrekte en büyük tehdit vektörleri e-posta (%79) ve tarayıcı indirmeleri (%12) oldu.
HP Wolf Security, kullanıcıları verimliliklerini etkilemeden korumak için riskli görevleri uç noktada çalışan yalıtılmış, donanımla güçlendirilmiş sanal makinelerde çalıştırıyor. Ayrıca, virüs bulaşma girişimlerinin ayrıntılı izlerini de yakalıyor. HP'nin uygulama izolasyonu teknolojisi, diğer güvenlik araçlarını atlatan tehditleri azaltıyor ve yeni izinsiz giriş teknikleri ve tehdit aktörlerinin davranışları hakkında benzersiz bilgiler sağlıyor.
Veriler hakkında
Bu veriler Nisan-Haziran 2023 tarihleri arasında HP Wolf Security müşteri sanal makinelerinde anonim olarak toplanmıştır.
HP hakkında
HP Inc. iyi düşünülmüş bir fikrin dünyayı değiştirme gücüne sahip olduğuna inanan bir teknoloji şirketidir. Kişisel sistemler, yazıcılar ve 3D baskı çözümlerinden oluşan ürün ve hizmet portföyü bu fikirlerin hayata geçirilmesine yardımcı olmaktadır. http://www.hp.com
HP Wolf Security hakkında
HP Wolf Security, yeni bir uç nokta güvenliği türüdür. HP'nin donanım destekli güvenlik ve uç nokta odaklı güvenlik hizmetleri portföyü, kuruluşların PC'leri, yazıcıları ve insanları çevreleyen siber avcılardan korumalarına yardımcı olmak için tasarlanmıştır. HP Wolf Security, donanım düzeyinde başlayıp yazılım ve hizmetlere kadar uzanan kapsamlı bir uç nokta koruması ve esnekliği sağlıyor. https://www.hp.com/uk-en/security/endpoint-security-solutions.html
İlgili Kişi:
Ceren Şahin
cerens@marjinal.com.tr
0531 031 87 14