Mandiant araştırmacıları kısa bir süre önce “URL Şema Gizlemesini”, çeşitli kötü amaçlı yazılım ailelerinin dağıtımı sırasında URL şemasını manipüle ederek nihai URL hedefini gizleyen bir düşman tekniği olarak tanımladılar.
Yöntem, bir kimlik avı saldırısının başarılı olma şansını artırmanın yanı sıra günlük kaydı veya güvenlik araçlarında etki alanı çıkarmada hatalar ortaya çıkarma potansiyeline sahiptir.
Ağ savunma araçları tarafından sunucu tanımlamaya güvenilmesi, tehdit algılamayı ve kötü amaçlı kampanyaların ve altyapının anlaşılmasını etkileyerek görünürlükte atlamalara ve boşluklara yol açabilir.
Yeni URL Gizleme Tekniği
Mandiant tarafından yapılan bir araştırma, @ankit_anubhav tarafından bir tweet’te vurgulandığı gibi, SMOKELOADER’ın URL hedeflerini gizlemek için çeşitli gizleme teknikleri kullandığını ve bunun çok sayıda kötü amaçlı yazılım varyantının dağıtımına yol açtığını ortaya çıkardı.
Bu tweet, “hxxp://google.com@1157586937” URL’si tarafından gösterilen ve beklenmedik bir Rick Roll videosu sonucuna yol açan iki eşzamanlı şaşırtma tekniğinin kullanımına örnek teşkil ediyor.
Aşağıda, kullanılan iki şaşırtma tekniğinden bahsetmiştik: –
- “@” işaretinin kullanımı.
- Alternatif ana bilgisayar adı biçimlerinin kullanımı.
Saldırganlar, güvenlik önlemlerinden kaçınmadaki etkinliği ve kurban bağlantı etkileşimi şansını artırması nedeniyle ısrarla URL Şeması Gizleme kullanır ve bu da genellikle ek kötü amaçlı yazılımların indirilmesi ve yürütülmesiyle sonuçlanır.
İndirilen belgelerde CVE-2017-0199 ve CVE-2017-11882 güvenlik açıklarının kullanımı da dahil olmak üzere çeşitli istismar teknikleri gözlemlendi, bu da kurbanlar üzerinde kod yürütülmesine yol açtı ve aşağıdakiler gibi çok sayıda emtia kötü amaçlı yazılım ailesi tarafından kullanıldı: –
- LOKİBOT
- MATEX
- FORM KİTAP
- AJANSLA
Bir URL, “@” işaretinden önce bir kullanıcı adı bölümü içerdiğinde, tarayıcı bunu yok sayar ve isteği “@” işaretinden sonra belirtilen sunucuya yönlendirir.
URL analizi, “google.com” bölümünün bir kullanıcı adı olarak yorumlandığını ortaya koyuyor ve etkinliğini artırmak için onu hedef e-posta adresi alan adıyla değiştirerek hedef odaklı kimlik avı kampanyalarında manipülasyon potansiyelini vurguluyor.
Tipik noktalı dörtlü IP adresi formatı IPv4 adreslerini temsil etmek için yaygın olarak kullanıldığından, bir sunucu IP adresini bir tamsayı olarak temsil etmek, alışılmadık ve daha ileri düzeyde bir şaşırtmacadır.
IP adresi 1.2.3.4 ikili temsilinden ondalık sayıya dönüştürüldüğünde 16909060 olur ve ikili gösterimi tek, büyük bir ikili sayı olarak ele alma ve onu ondalık sayıya dönüştürme sürecini gösterir.
Şubat 2023’teki bir VirusTotal Retrohunt sırasında, bir Microsoft Word belgesinin bileşen dosyası bir YARA kuralını tetikleyerek şablon yerleştirme, kötüye kullanma ve şifrelenmiş bir Telegram kanalı aracılığıyla verileri çıkaran AGENTTESLA kötü amaçlı yazılım dağıtımını içeren çok aşamalı bir saldırıyı ortaya çıkardı.
İlk olarak 6 Şubat 2023’te VirusTotal’da tespit edilen “PO.docx” belge dosyası, açıldıktan sonra tetiklenen ve sonraki kötü amaçlı yazılım aşaması için bir talebe yol açan bir şablon yerleştirme tekniği kullanır ve daha ayrıntılı inceleme, içinde bir sonraki aşamanın varlığını ortaya çıkarır. sıkıştırılmış dosya açıldığında webSettings.xml.rels dosyası.
Bu özel normal ifadenin güvenlik, günlük kaydı veya tehdit istihbaratı araçlarında kullanılması, gizlenmiş URL’leri algılama ve çıkarma yeteneklerini engeller ve tarayıcılar sözdizimini oluşturmadan önce otomatik olarak geçerli bir hedefe çevirdiğinden ağ trafiği analizi aracılığıyla bu tekniğin tanımlanamamasına neden olur. talep.
Kimlik avı bağlantıları ve şablon enjeksiyonu yoluyla kötü amaçlı yazılım dağıtımı için URL Şema Gizlemesinden yararlanmaya karşı koymak için savunucular, güvenlik araçlarının ve kayıt sistemlerinin ilgili göstergeleri algılama, tanımlama ve doğru bir şekilde ayrıştırma kabiliyetine öncelik vererek RFC standartlarına uyumu sağlamalıdır.
CISO’ların Karşılaştığı Ortak Güvenlik Sorunları? – Ücretsiz CISO Kılavuzunu İndirin
