Check Point Research’ten yakın tarihli bir rapor, ince, hasta sosyal mühendisliğini gizli bellek içi kötü amaçlı yazılımlarla birleştiren bir kimlik avı kampanyası olan Zipline’ı ortaya çıkardı ve saldırganların geleneksel savunmaları geçmesini ve insan davranışını geniş ölçekte manipüle etmelerini sağladı.
Bunu nasıl yaptılar ve kim hedeflendi?
Tipik bir kimlik avı saldırısı istenmeyen e -postalara dayanır, ancak Zipline, komut dosyasını tamamen çevirmiştir. Saldırganlar bunun yerine bir şirketin kendi “Bize Ulaşın” web formunu kullandılar ve hedeften bir yanıt verdiler. Başarılı olursa, bu, sahte NDA’lar ve tekliflerle dolu birkaç haftayı kapsayan birden fazla profesyonel e -posta alışverişinin başlangıcını işaret eder, hepsi de hedefin güvenini oluşturma umuduyla. Bu yapıldıktan sonra, kötü amaçlı zip dosyası .lnk dosyası taşıyan gönderilir. Bu bir PowerShell yükleyici başlatır ve gizli iletişim için DNS tünelini kullanan bellek içi bir implant olan Mixshell sunar.
Checkpoint, bu kampanyadaki belirlenen hedeflerin% 80’inden fazlasının Amerika Birleşik Devletleri’ne dayandığını ve açık bir coğrafi konsantrasyonun altını çizdiğini, Singapur, Japonya ve İsviçre’deki şirketlerin de hedef alındığını buldu. Hedeflenen şirketlerin çoğunluğu endüstriyel imalatta (%46), ancak donanım ve yarı iletkenler (%18), tüketim malları ve hizmetleri (%14) ve biyoteknoloji ve ilaçlar (%5) dahil olmak üzere endüstriler de etkilenmiştir. Sektörlerdeki bu dağıtım nedeniyle, Checkpoint, saldırganların varlıklı operasyonel ve tedarik zinciri kritik endüstrilerinde giriş puanı aramaya çalıştıklarını belirledi.
Bu yöntem neden bu kadar iyi çalışıyor?
RedFlags’ın CEO’su ve kurucu ortağı Tim Ward, konuyla ilgili derinlemesine bilgilerini paylaştı ve insan psikolojisinin nasıl ortaya çıktığına odaklandı…
“Zipline kampanyasındaki kontrol noktasından etkileyici ve endişe verici araştırmalar. Bunu bu kadar etkili kılan şey sadece araçlar (memur içi yükler, DNS tünelleme) değil, insanların nasıl düşündüğü yoldan yararlanıyor:
Bunun neden işe yaradığında çok fazla psikoloji var:
- Otorite ve Meşruiyet yanlılığı, “Bize İletişim” formuyla resmi giriş ve bir NDA isteği bir meşruiyet kaplaması oluşturur.
- Taahhüt ve tutarlılık / batık maliyet etkisi, çok haftalık profesyonel borsalar, insanları yatırılmış hissettirir ve geç aşamalı bir fermuar talebine meydan okuma olasılıkları daha düşüktür.
- Karşılıklılık, konuşmaya başlarlar, böylece cevap vermek/yardım etmek zorunda hissedersiniz.
- Akıcılık ve aşinalık, cilalı dil, sektör jargonu ve “AI etki değerlendirmesi” bahanesi normal ve güncel hissediyor.
- Normallik önyargısı, uzun, rutin geri – ve azaltma şüphesini azaltır – “Bu sadece başka bir satıcı iş parçacığı.”
- Aciliyet ve çerçeveleme, NDA / AI – Program Çerçevelemesi zaman duyarlılığı ve iç onay anlamına gelir.
Saldırganlar insan merkezli saldırıları rafine etmeye devam ediyor, bu yüzden savunmamızın da insan merkezli olması gerekiyor. Uzun yıllık eğitim bunu kesmiyor. ”
Bu noktaların birçoğunun hem gerçek yaşam hem de teorik desteği vardır. Örneğin, ilk olarak Harold Arkes ve Catherine Blumer tarafından bulunan batık maliyet etkisini ele alalım. Birlikte, insanların bu yatırımlar geri kazanılamasa bile, daha önce yatırılan kaynaklar sonucunda bir çabaya devam etme eğiliminde olduklarını bulmuşlardır.
Bu yüzden, bu profesyonel ilişkiyi, ileri geri gönderilen sayısız e -postayı inşa etmek için haftalar harcadığınızı düşünün, hepsi asla kurtarılamayacak çok fazla zaman ve çaba ile sonuçlandı. Bu kişisel yatırım artık insanların duygusal olarak yatırılmasına neden oluyor ve bu son kötü amaçlı zip dosyası geldiğinde, tıklamamak kaçırılan bir fırsat gibi görünüyor. Aslında, batık maliyet yanlışlığı, “kayıptan kaçınma” fikrine dayanarak neden bu kadar iyi çalışıyor. Bu, bir kaybın acısını eşit bir kazancın zevkinden daha güçlü hissetmesinin olgusudur.
Buradaki paket nedir?
Bu zipline saldırısı, endüstrinin en sık zor yolu öğrendiği temel bir gerçeği vurgular. İnsanlar en yumuşak saldırı yüzeyi olarak kalır. Bir toplum olarak güvene değer veriyoruz; Tüm işletmeler buna bağlıdır, ancak bu yüzden, yanlış ellere indiğinde sonuçlar felaket olabilir. Gelişmiş tehdit tespiti esas olmakla birlikte, bu kimlik avı saldırısının saf başarısı, sürekli, davranış farkında olan güvenlik eğitiminin ne kadar önemli olduğunu teşvik etmektedir.
Ancak, suç her zaman bireyle yalan söylememelidir. Güvenlik liderleri ayrıca iletişim formu iş akışları, NDA süreçleri ve geç aşamalar zip dosyası onayları konusundaki politikaları yeniden düşünmelidir. Şüpheli davranış kalıplarını zaman içinde işaretleyen bağlama duyarlı e-posta güvenliği ile eşleştirilen bu, daha fazla saldırganın hassas verilerinizle fermuar edememesini sağlayabilir.
ABD tedarik zincirlerinin zihinlerine ziplining sonrası BT Security Guru’da ilk ortaya çıktı.