Gizli metin tuzlama olarak bilinen karmaşık bir teknik, e-posta güvenlik sistemleri için önemli bir tehdit olarak ortaya çıktı ve siber suçluların, basamaklı stil sayfaları (CSS) özelliklerinin stratejik olarak kötüye kullanılması yoluyla tespit mekanizmalarını atlatmasına olanak tanıdı.
Bu saldırı vektörü, tehdit aktörlerinin kötü amaçlı e-postaların çeşitli bileşenleri içine alakasız içerik veya “tuz” yerleştirmesine ve bunları alıcılar için görünmez hale getirmesine olanak tanır.
Teknik, kimlik avı kampanyaları, dolandırıcılık operasyonları ve yüksek değerli kuruluşları hedef alan gelişmiş kalıcı tehditler dahil olmak üzere birçok tehdit kategorisinde yaygın bir şekilde benimsendi.
Gizli metin tuzlama, saldırganların e-posta tabanlı saldırılara yaklaşımında temel bir değişimi temsil ediyor ve web sunum standartlarının temelinden yararlanmak için geleneksel içerik tabanlı saldırının ötesine geçiyor.
Saldırganlar, yazı tipi boyutu, opaklık, ekran görünürlüğü ve kapsayıcı boyutları gibi CSS özelliklerini değiştirerek, kötü amaçlı mesajlarının görsel bütünlüğünü korurken, otomatik algılama sistemlerini karıştıran önemli miktarda gizli içerik enjekte edebilir.
Bu yaklaşımın, hem imza tabanlı güvenlik çözümlerine hem de tehdit sınıflandırması için metin analizine dayanan gelişmiş makine öğrenimi modellerine karşı özellikle etkili olduğu kanıtlanmıştır.
Teknik, e-posta altyapısındaki dört ana enjeksiyon noktasında kendini gösterir: ön başlıklar, başlıklar, mesaj gövdeleri ve HTML ekleri.
Her konum, belirli tespit mekanizmalarından kaçmak isteyen tehdit aktörleri için benzersiz avantajlar sunar. Ön başlık enjeksiyonu, saldırganların e-posta istemcilerinde görünen önizleme metnini değiştirmesine olanak tanırken, başlık manipülasyonu, dil algılama algoritmalarının kafasını karıştırabilir.
.webp)
Vücut enjeksiyonu, içerik seyreltme için kapsamlı fırsatlar sunan en yaygın yöntem olmaya devam ederken, eklenti tabanlı tuzlama, güvenlik satıcıları tarafından kullanılan statik analiz prosedürlerini karmaşık hale getiriyor.
Cisco Talos araştırmacıları, Mart 2024’ten Temmuz 2025’e kadar olan tehditleri analiz ederek, on altı ayı aşkın e-posta kampanyalarını kapsamlı bir şekilde izleyerek, ortaya çıkan bu tehdit modelini belirledi.
Araştırma, gizli metin tuzlamanın meşru iletişimlerle karşılaştırıldığında kötü amaçlı e-postalarda önemli ölçüde daha sık meydana geldiğini, spam ve kimlik avı kampanyalarının orantısız olarak daha yüksek kullanım oranları gösterdiğini ortaya koyuyor.
Analiz, basit karakter eklemeden, doğal dil işleme sistemlerini karıştırmak için tasarlanmış karmaşık çok dilli içerik eklemeye kadar tekniğin çeşitlerini kullanan çok sayıda tehdit aktörü grubunu kapsıyor.
.webp)
Etkiler geleneksel e-posta güvenliğinin ötesine geçerek, tehdit analizi için büyük dil modellerini içeren modern savunma sistemlerini potansiyel olarak etkilemektedir.
Araştırmacılar, minimum düzeyde gizli içeriğin, yapay zeka destekli güvenlik araçları tarafından gerçekleştirilen duygu analizini ve amaç sınıflandırmasını nasıl değiştirebileceğini, kötü amaçlı mesajları algoritmik bir bakış açısıyla etkili bir şekilde görünüşte zararsız iletişimlere dönüştürebileceğini gösterdi.
Teknik Uygulama Yöntemleri ve Tespitten Kaçınma
Gizli metin tuzlamanın teknik uygulaması, CSS özellik manipülasyonunun üç ana kategorisine dayanır: metin özellikleri, görünürlük kontrolleri ve boyut kısıtlamaları.
Metin tabanlı gizleme, yazı tipi boyutunu sıfıra veya sıfıra yakın değerlere ayarlamayı, yazı tipi renklerini arka plan renkleriyle eşleştirmeyi veya içeriği görünmez kılmak için satır yüksekliği özelliklerini değiştirmeyi içerir. Bu yöntemlerin, CSS stil bağlamlarını dikkate almadan görünür metin içeriğini çıkaran ayrıştırıcılara karşı etkili olduğu kanıtlanmıştır.
Görünürlük ve görüntüleme özelliğinin kötüye kullanılması, içeriği HTML kaynağında korurken görsel oluşturmadan kaldırmak için “display: none”, “visibility: Hidden” veya “opacity: 0” gibi CSS bildirimlerini kullanan en basit uygulama yaklaşımını temsil eder.
Gelişmiş değişkenler, medya sorgularına veya müşteriye özel özelliklere dayalı koşullu stil kullanarak içeriğin farklı e-posta istemcileri ve görüntüleme ortamlarında gizli kalmasını sağlar.
Boyut manipülasyon teknikleri, tehdit aktörlerinin sıfır genişlik, yükseklik veya maksimum boyuta sahip HTML öğeleri oluşturduğu ve içeriği görünür sınırların ötesinde etkili bir şekilde kırptığı konteyner tabanlı gizlemeye odaklanır.
Bu yaklaşım genellikle “gizli” olarak ayarlanmış taşma kontrollerini içerir ve kısıtlı kapsayıcılar içindeki büyük boyutlu içeriğin alıcılar için görünmez kalmasını ve HTML ayrıştırıcıları ve metin çıkarma algoritmaları tarafından erişilebilir kalmasını sağlar.
Hidden salt content here
Uygulamanın karmaşıklığı tehdit aktörleri arasında önemli ölçüde farklılık gösterir; bazıları basit tek özellik gizlemeyi kullanırken diğerleri birden fazla CSS tekniğini birleştiren karmaşık, çok katmanlı yaklaşımları kullanır.
Gelişmiş uygulamalar duyarlı tasarım ilkelerini birleştirerek gizli içeriğin masaüstü, mobil ve web posta platformlarında gizli kalmasını sağlar.
Bazı kampanyalar, gizleme özelliklerini aynı anda birden fazla HTML öğesine uygulamak için CSS seçicileri kullanır; böylece kod fazlalığını azaltırken kaçırma etkinliğini korur.
Karakter düzeyinde enjeksiyon, tehdit aktörlerinin marka adlarının harfleri veya hassas anahtar kelimeler arasına sıfır genişlikli boşluk karakterleri (ZWSP) veya sıfır genişlikte birleştirici olmayan (ZWNJ) karakterler yerleştirdiği başka bir yaygın tekniği temsil eder.
İnsan alıcılar için görünmez olmasına rağmen bu karakterler, tehdit tanımlama için tam dize eşleşmesine dayanan anahtar kelime eşleştirme algoritmalarını ve imza tabanlı algılama sistemlerini etkili bir şekilde bozar.
Cisco Talos tarafından yürütülen araştırma, gizli metin tuzlamanın basit bir kaçırma tekniğinden, hem geleneksel hem de yeni nesil e-posta güvenlik çözümlerini baltalayabilen, kuruluşların CSS tabanlı içerik gizlemeyi hesaba katan kapsamlı tespit ve filtreleme mekanizmaları uygulamasını gerektiren karmaşık bir saldırı metodolojisine dönüştüğünü gösteriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
