PDF Kullanan Yeni E-posta Kampanyası Keşfedildi
IBM'e göre e-posta güvenliği, veri ihlalleri için hala bir numaralı ilk saldırı vektörü olduğu için en önemli öncelik olmalıdır. Buna rağmen, sofistike e-posta saldırıları, bu yıl tüm ihlallerin %82'sinde yer alan insan faktörünü istismar ederek kurbanlarını etkili bir şekilde almaya devam ediyor. Ne yazık ki, geçtiğimiz ay PDF eklerini kullanan başka bir kötü amaçlı yazılım dağıtım kampanyası tespit edildi ve bilgisayar korsanları kötü amaçlı yazılımları kurbanların cihazlarına kaçırmak için yeni bir yol buldu.
Saldırının nasıl gerçekleştirildiğini özetleyelim
HP Wolf Security tarafından keşfedilen yeni siber suç kampanyası, Snake Keylogger'ı PDF dosyaları aracılığıyla savunmasız uç noktalara dağıtmak için belirsiz kullanıcı davranışlarından yararlandı.
Tehdit aktörleri ilk olarak "Havale Faturası" konu başlığını taşıyan bir e-posta göndererek kurbanları bir şey için ödeme alacakları konusunda kandırmaya çalıştı. PDF açıldığında, Adobe Reader kullanıcıdan gömülü bir belgeyi - bir DOCX dosyası - açmasını istedi; bu şüpheli olabilir ancak gömülü belge "doğrulandı" olarak adlandırıldığı için kurban için oldukça kafa karıştırıcıdır. Bu da kurbanın PDF okuyucunun dosyayı taradığını ve kullanıma hazır olduğunu düşünmesine neden oluyor.
Word dosyasının, etkinleştirildiği takdirde uzak konumdan zengin metin dosyasını (RTF) indirip çalıştıracak bir makro içermesi muhtemeldir. Dosya daha sonra Snake Keylogger kötü amaçlı yazılımını indirmeye çalışacaktır.
Saldırının başarılı olması için, hedeflenen uç noktaların belirli bir kusura karşı hala savunmasız olması gerekir. Ancak bu kez saldırganlar kötü amaçlı kodu göndermemiş, kurbanı kandırarak kodu indirmesini sağlamış ve tespit tabanlı ağ geçidi savunmalarını atlatmıştır.
Siber güvenlik camiası, güvenlik ihlallerinin birçoğunun önlenebilir olduğuna inanıyor. Örneğin, mevcut açık 2017 yılında tespit edildi ve tüm cihaz yöneticilerinin işletim sistemlerini güncel tutmaları halinde son saldırı serisi önlenebilirdi.
Verizon'un DBIR'ına göre, kurumsal bilgilere giden dört ana yol vardır: kimlik bilgileri, kimlik avı, güvenlik açıklarından yararlanma ve botnetler. Bu unsurlardan sadece birinin bile engellenememesi ağa izinsiz girişlere yol açabilir. Bu vakada saldırganlar saldırmak için iki unsur kullanmışlardır: şüphelenmeyen kullanıcıları yanıltmak için iyi koreografiye sahip bir e-posta kimlik avı dolandırıcılığı ve kötü amaçlı dosyalar yüklemek için istismar edilen bir güvenlik açığı.
Yaygın olarak kullanılan koruma önlemleri
Yeni siber suç kampanyası, Snake Keylogger'ı PDF dosyaları aracılığıyla savunmasız uç noktalara dağıtmak için e-posta kullandığından, en iyi güvenlik uygulamaları aşağıdaki nedenlerden dolayı düzgün çalışmazdı:
- Güvenlik açıkları günler içinde ortaya çıkıyor, ancak kuruluşların yama yapması haftalar ya da aylar alıyor.
- Geleneksel e-posta güvenlik çözümleri, sıfırıncı gün saldırılarını önlemekte zorlanır çünkü bunları tespit edecek anti-virüs imzaları mevcut değildir.
- Sandbox çözümleri gelişmiş tehdit tespiti için bir yaklaşım olarak ortaya çıkmıştır, ancak teslimattan önce ek işlem süresi ekledikleri için e-posta için pek uygun değildirler
- Verimlilik üzerindeki olumsuz etkinin ötesinde, bazı e-posta güvenlik tehditleri sandbox tespitinden kaçabilir. Bu durumda, bu iki yöntem uygulanmıştır:
- Eylem-Gecikmeli Yürütme
- Truva Atları ve Makrolar
Bilgisayar korsanları kötü amaçlı yazılımlarının bir sanal alan ortamında çalışmadığından emin olmak istiyorlarsa, bir başka yaygın yaklaşım da son kullanıcı etkileşimini beklemektir. Bu, fareye tıklamak, klavyede yazmak ya da belirli bir uygulamayı açmak olabilir - seçenekler neredeyse sınırsızdır. Saldırgan için önemli olan, sandbox çözümlerinin bu eylemleri hesaba katamamasıdır. Böyle bir kullanıcı eylemi olmadan, sandbox çözümleri bu saldırıları tespit edemez.
Trojan dosyaları neredeyse antik Yunan kadar eskidir, bu nedenle anti-virüs ve sandboxing çözümlerinin kredisi oldukça fazla sayıda Trojan dosyası türünü tespit edebilmeleridir. Algılama tabanlı çözümler, kötü amaçlı yazılım makro özellikli Microsoft Office belgelerine gizlendiğinde başarısız olma eğilimindedir. Saldırganlar için makro tabanlı saldırıların tek dezavantajı, son kullanıcının bunları etkinleştirmesini gerektirmeleridir, bu nedenle genellikle bir sosyal mühendislik saldırısı eşlik eder.
Sıfır Güven Felsefesi
Kuruluşlar tüm e-postaların ve eklerin kötü amaçlı olduğunu varsaymalıdır. Word belgeleri veya PDF'ler gibi yaygın üretkenlik dosyalarına kötü amaçlı yazılım ve sıfırıncı gün saldırıları bulaşmış olabilir, ancak e-posta veya Word belgelerine erişimi engellemek gerçekçi değildir. Anti-virüs ve sandbox çözümlerinin gelişmiş saldırıları tespit etme becerileri sınırlıdır. Yukarıdaki saldırıda gördüğümüz gibi, yalnızca tespit tabanlı koruma kullanmak temelde yanlış bir yaklaşımdır. Bunun yerine kuruluşlar, tüm dosyaları kötü niyetli olarak değerlendiren ve gerçek zamanlı olarak temizleyen proaktif bir çözümle sıfır güven güvenlik yaklaşımını benimsemelidir. Bu tür temizlenmiş ekler kullanıcıya anında teslim edilebilir, böylece iş verimliliğini engellemezken, arka planda daha fazla tespit tabanlı (veya dinamik) analiz için zaman tanır ve başarılı olursa orijinal dosyayı kullanıcıya bile gönderebilir.
MetaDefender Email Security böyle bir çözümdür. Tüm potansiyel olarak kötü niyetli içeriği kaldırarak ve temiz bir dosya olarak yeniden yapılandırarak ekleri, e-posta gövdelerini ve başlıklarını etkisiz hale getirmek için kapsamlı bir yaklaşım sağlar. Böylece, bu dosyalar tamamen kullanılabilir ve güvenli hale gelir ve güvensiz kullanıcılar için yukarıda açıklanan saldırılara karşı yeterli koruma sağlar.
OPSWAT kurumları tespit etmeye gerek kalmadan istismarlardan ve silah haline getirilmiş içerikten korur. Üstelik sandbox tespitinden 30 kat daha hızlı!
Kuruluşunuzu gelişmiş tehditlerden korumak için e-posta güvenliği açıklarını nasıl kapatabileceğiniz hakkında daha fazla bilgi edinmek istiyorsanız, " Email Security ve Kritik Altyapı Koruması için En İyi Uygulamalar" başlıklı ücretsiz teknik raporumuzu indirin veya konuyla ilgili daha fazla blogu buradan okuyun.
