ICT Media
HP Wolf Security'nin son tehdit analiz raporu, siber saldırganların mevcut sistem araçlarını kötüye kullanarak ("living-off-the-land") ve ultra gerçekçi PDF faturaları gibi yemlerle siber saldırı tekniklerini nasıl bir üst seviyeye taşıdığını ortaya koyuyor. Saldırganlar, tespit edilmekten kaçınmak için meşru uygulamalara ve sistem özelliklerine olan güveni istismar ediyor.
Raporda, saldırganların zararlı yazılımları gizlemek için kullandığı yaratıcı yöntemlere dikkat çekiliyor. Sahte Adobe Reader faturaları, kurbanları aldatmak için son derece gerçekçi görünümlü bir sosyal mühendislik tuzağı olarak kullanılıyor. Bu tuzaklar, bir ters kabuk yerleştiren ve kurbanın cihazı üzerinde kontrol sağlayan bir komut dosyası içeriyor. İlginç bir şekilde, kötü amaçlı kod, bir yükleme çubuğuyla tamamlanan küçük bir SVG görüntüsünün içine gömülüyor. Saldırganlar, tespitten kaçınmak için saldırıları Almanca konuşulan bölgelerle sınırlamak gibi coğrafi hedeflendirme de yapıyor.
Bunun yanı sıra, saldırganlar Microsoft Complied HTML Yardım dosyaları ve piksel görüntü verileri içinde zararlı kod gizleyerek yeni bir yöntem deniyor. Bu yöntemle, zararlı yazılımı görüntü pikselleri arasına saklıyor ve çok adımlı bir enfeksiyon zincirini tetikliyorlar. Saldırganlar ayrıca izlerini silmek için indirme ve çalıştırma işleminden sonra dosyaları otomatik olarak silen komut dosyaları kullanıyor.
Güvenilir Dosyalar ve Living-off-the-Land Teknikleri
Lumma Stealer gibi zararlı yazılımlar, güvenlik filtrelerini aşmak için IMG Arşivleri ve diğer living-off-the-land (LOTL) tekniklerini kullanarak yayılmaya devam ediyor. Bu teknikler, saldırganların bir bilgisayarın içindeki meşru araçları kötüye kullanmasına olanak tanıyor, bu da kötü niyetli faaliyeti meşru faaliyetten ayırmayı zorlaştırıyor.
HP Güvenlik Laboratuvarı Baş Tehdit Araştırmacısı Alex Holland, saldırganların eski teknikleri yeni yollarla geliştirdiğini belirtiyor. Tam teşekküllü bir kötü amaçlı yazılım yerine hafif komut dosyaları ve alışılmadık dosya türlerini tercih etmeleri, onların radarın altında kalmasını sağlıyor.
HP Wolf Security, zararlı yazılımları güvenli ortamda izole ederek siber suçluların kullandığı en son teknikler hakkında derinlemesine analizler yapıyor. Rapor, e-posta tehditlerinin %13'ünün e-posta ağ geçidi tarayıcılarını atladığını ve arşiv dosyalarının (%40) en popüler gönderim türü olduğunu ortaya koyuyor. Bu durum, geleneksel tespit yöntemlerine dayanan güvenlik sistemlerinin yetersiz kaldığını gösteriyor.
Siber güvenlik ekipleri için LOTL teknikleri zorlayıcı bir durum yaratıyor çünkü meşru ve kötü amaçlı faaliyetler arasındaki çizgiyi ayırt etmek zor. Bu nedenle, katmanlı bir savunma stratejisi benimsemek ve saldırıları zarar vermeden önce sınırlamak, işletmeler için hayati önem taşıyor.
