Siber saldırganlar hedeflerini tehlikeye atmanın yeni yollarını keşfetmeyi asla bırakmazlar. Bu nedenle kuruluşların en son tehditler konusunda güncel kalması gerekir.
Altyapınızı size ulaşmadan önce korumak için bilmeniz gereken mevcut kötü amaçlı yazılım ve kimlik avı saldırılarının kısa bir özetini burada bulabilirsiniz.
Sıfır Gün Saldırısı: Bozuk Kötü Amaçlı Dosyalar Çoğu Güvenlik Sisteminin Tespitinden Kaçıyor
ANY.RUN’daki analist ekibi yakın zamanda devam eden bir sıfır gün saldırısına ilişkin analizlerini paylaştı. En azından Ağustos ayından bu yana aktiftir ve bugüne kadar çoğu tespit yazılımı tarafından hala ele alınmamıştır.
Saldırı, kasıtlı olarak bozulmuş Word belgelerinin ve içinde kötü amaçlı dosyalar bulunan ZIP arşivlerinin kullanılmasını içeriyor.
 |
| VirusTotal bozuk dosyalardan biri için 0 algılama gösteriyor |
Yolsuzluk nedeniyle, güvenlik sistemleri bu dosyaların türünü doğru bir şekilde tanımlayamıyor ve bunlar üzerinde analiz yapamıyor, bu da sıfır tehdit tespitiyle sonuçlanıyor.
Bu dosyalar bir sisteme teslim edildikten ve kendi yerel uygulamalarıyla (docx için Word ve zip için WinRAR) açıldıktan sonra geri yükleniyor ve kurbana kötü amaçlı içerikler sunuyor.
ANY.RUN sanal alanı bu tehdidi tespit eden birkaç araçtan biridir. Kullanıcıların, tamamen etkileşimli bir bulut sanal makinesi içindeki bozuk kötü amaçlı dosyaları ilgili uygulamalarla manuel olarak açmasına ve bunları geri yüklemesine olanak tanır. Bu, dosyanın ne tür bir veri içerdiğini görmenizi sağlar.
Bozuk bir Word belgesi içeren bu sanal alan oturumuna göz atın. Kurtarma işleminden sonra, gömülü phishing bağlantısına sahip bir QR kodu olduğunu görebiliriz.
Korumalı alan, kötü amaçlı etkinlikleri otomatik olarak tanımlar ve sizi bu konuda bilgilendirir.
Kötü amaçlı yazılım analizinizi nasıl hızlandırabileceğini ve geliştirebileceğini görmek için ANY.RUN’un Etkileşimli Korumalı Alanı’nı deneyin.
Tüm gelişmiş özelliklerini ücretsiz olarak test etmek için 14 günlük deneme sürümünü edinin →
PowerShell Komut Dosyası Aracılığıyla Dosyasız Kötü Amaçlı Yazılım Saldırısı Quasar RAT’ı Dağıtıyor
Yakın zamanda gerçekleşen bir diğer önemli saldırı, Quasar RAT’ı virüslü cihazlara bırakan Psloramyra adlı dosyasız bir yükleyicinin kullanılmasını içeriyor.
Bu korumalı alan oturumu, Psloramyra yükleyicisinin sistemde ilk tutunmayı sağladıktan sonra bir PowerShell betiğini başlatmak için LoLBaS (Karasal İkili Dosyalar ve Komut Dosyalarından Yaşamak) tekniğini nasıl kullandığını gösterir.
Betik, kötü amaçlı bir veriyi dinamik olarak belleğe yükler, yüklenen .NET derlemesindeki Execute yöntemini tanımlayıp kullanır ve son olarak Quasar’ı RegSvcs.exe gibi meşru bir işleme enjekte eder.
Kötü amaçlı yazılım tamamen sistemin belleğinde çalışarak fiziksel diskte hiçbir iz bırakmamasını sağlar. Varlığını sürdürmek için her iki dakikada bir çalışan zamanlanmış bir görev oluşturur.
Kimlik Avı Saldırılarında Azure Blob Depolamanın Kötüye Kullanılması
Siber suçlular artık *.blob’dan yararlanarak Azure’un bulut depolama çözümünde kimlik avı sayfaları barındırıyor[.]çekirdek[.]pencereler[.]net alt alan adı.
Saldırganlar, kurbanın yazılımı hakkında bilgi almak için (ör. işletim sistemi ve sayfada bulunan tarayıcı) bir komut dosyası kullanarak sayfanın daha güvenilir görünmesini sağlar. Örneğe bakın.
Saldırının amacı, kurbanı oturum açma bilgilerini sahte bir forma girmesi için kandırmak ve bu bilgileri daha sonra toplayıp dışarı çıkarmaktır.
Emmenhtal Loader Lumma, Amadey ve Diğer Kötü Amaçlı Yazılımları Sunmak İçin Komut Dosyaları Kullanıyor
Emmenhtal, geçtiğimiz yıl birçok kampanyaya dahil olan, yeni ortaya çıkan bir tehdittir. En son saldırılardan birinde suçlular, aşağıdaki adımları içeren infaz zincirini kolaylaştırmak için komut dosyaları kullanıyor:
- LNK dosyası Forfiles’ı başlatır
- Forfiles HelpPane’i bulur
- PowerShell, AES şifreli birinci aşama veri yüküyle Mshta’yı başlattı
- Mshta indirilen verinin şifresini çözer ve çalıştırır
- PowerShell, Emmenhtal’in şifresini çözmek için AES şifreli bir komut çalıştırır
Son PowerShell betiği olan Emmenhtal yükleyicisi, argüman olarak oluşturulmuş bir ada sahip bir ikili dosyayı kullanarak bir veri yükünü (çoğunlukla Updater.exe) yürütür.
Bu, Lumma, Amadey, Hijackloader veya Arechclient2 gibi kötü amaçlı yazılım ailelerinin bulaşmasına yol açar.
ANY.RUN ile En Son Siber Saldırıları Analiz Edin
Gelişmiş kötü amaçlı yazılım ve kimlik avı analizi için kendinizi ANY.RUN’un Etkileşimli Sandbox’ıyla donatın. Bulut tabanlı hizmet size güvenli ve tam işlevli bir VM ortamı sunarak gönderdiğiniz kötü amaçlı dosyalar ve URL’lerle özgürce etkileşim kurmanıza olanak tanır.
Ayrıca ağ ve sistem etkinliklerindeki kötü amaçlı davranışları gerçek zamanlı olarak otomatik olarak algılar.
- Tehditleri 40 saniyeden kısa sürede tespit edin
- Kurulum ve bakımda kaynaklardan tasarruf edin
- Tüm kötü amaçlı etkinlikleri günlüğe kaydedin ve inceleyin
- Ekibinizle özel modda çalışın
ANY.RUN’un sunduğu tüm özellikleri test etmek için 14 günlük ücretsiz deneme sürümünü edinin →