Samuag
New member
HP, bugün üçüncü çeyrek HP Wolf Güvenlik Tehdit Öngörüleri Raporu’nu yayınladı; ZIP ve RAR evrakları üzere arşiv evrak biçimlerinin makus maksatlı yazılımları yaymak için en epey kullanılan belge çeşidi olduğunu ve üç yıl daha sonra birinci defa Office evraklarını geçtiğini ortaya koydu. Gerçek dünyadaki siber taarruzların tahlilini sunan rapor, süratle değişen siber cürüm ortamında siber hatalıların tespit edilmemek ve kullanıcılara ziyan vermek için kullandıkları en son tekniklere dikkat çekerek kurumlara yardımcı oluyor.
HP Wolf Security çalıştıran milyonlarca uç noktadan elde edilen datalara dayanan araştırma, ziyanlı yazılımların yüzde 44’ünün arşiv belgelerinin ortasından gönderildiğini ortaya koydu. Rapora nazaran Microsoft Word, Excel ve PowerPoint üzere Office belgeleri aracılığıyla ziyanlı yazılım yayma oranı olan yüzde 32’ye kıyasla, arşiv evraklarının ulaştığı yüzde 44 oranı, bundan evvelki çeyreğe bakılırsa yüzde 11’lik bir artışa da işaret ediyor.
Rapor, arşiv evraklarının kullanmasını yeni HTML kaçakçılığı teknikleriyle (siber hatalıların e-posta ağ geçitlerini atlamak için ziyanlı arşiv evraklarını HTML belgelerine yerleştirme teknikleri ile) birleştiren ve akabinde atak başlatan birkaç akın tespit etti.
Örneğin, son QakBot ve IceID atakları, kullanıcıları Adobe üzere görünen düzmece çevrimiçi doküman görüntüleyicilere yönlendirmek için HTML belgelerini kullandı. Kullanıcılara sonrasındasında bir ZIP belgesi açmaları ve belgeleri açmak için bir parola girmeleri talimatı verildi ve bu parolayla bilgisayarlarına makus maksatlı yazılım yerleştirildi.
Özgün HTML evrakı ortasındaki ziyanlı yazılım kodlanmış ve şifrelenmiş olduğundan, e-posta ağ geçidi yahut öbür güvenlik araçları tarafınca tespit edilmesi hayli zorlaşıyor. Saldırganlar toplumsal mühendisliğe güveniyor ve insanları kandırarak berbat gayeli ZIP evrakını açması için ikna edici ve uygun tasarlanmış bir web sayfası oluşturuyor. Ekim ayında da birebir saldırganların geçersiz Google Drive sayfaları kullanarak kullanıcıları ziyanlı ZIP evraklarını açmaları için kandırmaya çalıştıkları tespit edilmişti.
HP ayrıyeten, saldırganların atağın tam ortasında silahlarını (casus yazılım, fidye yazılımı, keylogger gibi) değiştirmesine yahut geo-fencing (coğrafi bir bölge etrafındaki sanal sınır) üzere yeni özellikler sunmasına imkan tanıyan ve modüler bir bulaşma zinciri kullanan karmaşık bir atak tespit etti. Yani, saldırgan, ihlal ettiği amaca bağlı olarak taktiklerini değiştirebiliyor. Makus maksatlı yazılımın direkt gayeye gönderilen eke dahil edilmemesi, e-posta ağ geçitlerinin bu tıp akınları tespit etmesini de zorlaştırıyor.
HP Wolf Security, kullanıcıları korumak için e-posta eklerini açma, evrak indirme ve linklere tıklama üzere riskli adımları yalıtılmış, mikro sanal makinelere (mikro VM’ler) alıyor ve virüs bulaşma teşebbüslerinin detaylı izlerini yakalıyor. HP’nin uygulama izolasyonu teknolojisi, öteki güvenlik araçlarını atlatabilen tehditleri azaltırken yeni müsaadesiz giriş teknikleri ve tehdit aktörlerinin davranışları hakkında eşsiz bilgiler sağlıyor. HP Wolf Security, algılama araçlarını atlatan tehditleri izole ederek, siber hatalılar tarafınca kullanılan en son teknikler hakkında özel bilgiler topluyor. HP müşterileri bugüne kadar 18 milyardan fazla e-posta ekine, web sayfasına tıkladı ve hiç bir ihlal bildirilmeden belge indirdi.
HP Wolf Security çalıştıran milyonlarca uç noktadan elde edilen datalara dayanan araştırma, ziyanlı yazılımların yüzde 44’ünün arşiv belgelerinin ortasından gönderildiğini ortaya koydu. Rapora nazaran Microsoft Word, Excel ve PowerPoint üzere Office belgeleri aracılığıyla ziyanlı yazılım yayma oranı olan yüzde 32’ye kıyasla, arşiv evraklarının ulaştığı yüzde 44 oranı, bundan evvelki çeyreğe bakılırsa yüzde 11’lik bir artışa da işaret ediyor.
Rapor, arşiv evraklarının kullanmasını yeni HTML kaçakçılığı teknikleriyle (siber hatalıların e-posta ağ geçitlerini atlamak için ziyanlı arşiv evraklarını HTML belgelerine yerleştirme teknikleri ile) birleştiren ve akabinde atak başlatan birkaç akın tespit etti.
Örneğin, son QakBot ve IceID atakları, kullanıcıları Adobe üzere görünen düzmece çevrimiçi doküman görüntüleyicilere yönlendirmek için HTML belgelerini kullandı. Kullanıcılara sonrasındasında bir ZIP belgesi açmaları ve belgeleri açmak için bir parola girmeleri talimatı verildi ve bu parolayla bilgisayarlarına makus maksatlı yazılım yerleştirildi.
Özgün HTML evrakı ortasındaki ziyanlı yazılım kodlanmış ve şifrelenmiş olduğundan, e-posta ağ geçidi yahut öbür güvenlik araçları tarafınca tespit edilmesi hayli zorlaşıyor. Saldırganlar toplumsal mühendisliğe güveniyor ve insanları kandırarak berbat gayeli ZIP evrakını açması için ikna edici ve uygun tasarlanmış bir web sayfası oluşturuyor. Ekim ayında da birebir saldırganların geçersiz Google Drive sayfaları kullanarak kullanıcıları ziyanlı ZIP evraklarını açmaları için kandırmaya çalıştıkları tespit edilmişti.
HP ayrıyeten, saldırganların atağın tam ortasında silahlarını (casus yazılım, fidye yazılımı, keylogger gibi) değiştirmesine yahut geo-fencing (coğrafi bir bölge etrafındaki sanal sınır) üzere yeni özellikler sunmasına imkan tanıyan ve modüler bir bulaşma zinciri kullanan karmaşık bir atak tespit etti. Yani, saldırgan, ihlal ettiği amaca bağlı olarak taktiklerini değiştirebiliyor. Makus maksatlı yazılımın direkt gayeye gönderilen eke dahil edilmemesi, e-posta ağ geçitlerinin bu tıp akınları tespit etmesini de zorlaştırıyor.
HP Wolf Security, kullanıcıları korumak için e-posta eklerini açma, evrak indirme ve linklere tıklama üzere riskli adımları yalıtılmış, mikro sanal makinelere (mikro VM’ler) alıyor ve virüs bulaşma teşebbüslerinin detaylı izlerini yakalıyor. HP’nin uygulama izolasyonu teknolojisi, öteki güvenlik araçlarını atlatabilen tehditleri azaltırken yeni müsaadesiz giriş teknikleri ve tehdit aktörlerinin davranışları hakkında eşsiz bilgiler sağlıyor. HP Wolf Security, algılama araçlarını atlatan tehditleri izole ederek, siber hatalılar tarafınca kullanılan en son teknikler hakkında özel bilgiler topluyor. HP müşterileri bugüne kadar 18 milyardan fazla e-posta ekine, web sayfasına tıkladı ve hiç bir ihlal bildirilmeden belge indirdi.