Bilgisayar korsanları, istemcinin sistemlerindeki farklı katmanlara ve odalara sızmak ve arama işlevindeki hataları kullanarak yetkisiz kod yürütmek için Windows Arama’nın güvenlik açığını kullanır.
Bu onların ayrıcalıklarını artırmalarına, virüsleri ve kötü amaçlı yazılımları yaymalarına ve arama sorgularını değiştirerek veya rutinleri birbirine bağlayarak gizli verileri çalmalarına olanak tanır.
Trustwave SpiderLabs’taki siber güvenlik araştırmacıları yakın zamanda kötü amaçlı yazılım dağıtmak için Windows Arama işlevini aktif olarak kullanan bilgisayar korsanlarını tespit etti.
Bilgisayar korsanları Windows Arama’yı Kötüye Kullanıyor
Bu karmaşık kötü amaçlı yazılım kampanyası, kötü amaçlı yazılımı yaymak için HTML Windows aramasını kullanıyor.
Saldırı, gizleme stratejisi olarak günlük olarak kullanılan herhangi bir normal belgeye benzeyen, kötü amaçlı bir HTML dosyası içeren sıkıştırılmış arşive sahip bir e-posta aracılığıyla başlatılıyor.
Free Webinar on API vulnerability scanning for OWASP API Top 10 vulnerabilities -> Book Your Spot.
Daha hızlı aktarım için dosya boyutlarını azaltır, sıkıştırılmış içerikleri gözden kaçıran tarayıcılardan kaçınmaya olanak tanır ve temel güvenlik önlemlerini tehlikeye atacak başka bir katman sunar.
Ancak ölçeği küçük ve kampanya, tehdit aktörlerinin sistem açıklarını ve kullanıcı davranışlarını ne ölçüde incelediğini ortaya koyuyor.
Akıllı kod hileleri, Windows arama işlevini kötüye kullanan kötü amaçlı bir HTML eki kullanır.
Trustwave, etiketin açıldığında tarayıcıyı anında bir istismar URL’sine yönlendirdiğini ve bunun da kullanıcı müdahalesini önlemeye yardımcı olduğunu söyledi.
Alternatif olarak, otomatik yeniden yönlendirme başarısız olursa kullanıcıları saldırıyı manuel olarak başlatmaya teşvik edebilecek tıklanabilir bir bağlantı içerir.
Bu, bu tehdit aktörlerinin, tarayıcıların nasıl çalıştığı ve kullanıcılarla neler yapabilecekleri konusundaki derin bilgilerini, kötü amaçlı yazılım yüklerine güvenmelerini sağlayarak gösterdikleri yaklaşımlardan yalnızca bir tanesi.
Hazırlanan arama sorguları, Windows Gezgini’nin böyle bir aramayı yürütmesini ve tarayıcıyı kötü amaçlı HTML kullanarak yeniden yönlendirerek arama protokolünü kötüye kullanmasını ister.
Üzerinde “FATURA” yazan dosyaları kontrol eder ancak aynı anda yalnızca Cloudflare hizmeti aracılığıyla tünellenen uzak bir kötü amaçlı sunucudaki dosyalara odaklanır.
Görünen ad parametresi, aramayı “İndirilenler” olarak yeniden adlandırarak meşruluk izlenimi verir.
WebDAV’ın dahil edilmesiyle uzaktaki kötü amaçlı dosyalar, sanki yerel kaynaklarmış gibi görünür hale gelir ve kullanıcıların kötü niyetli niyeti belirlemesini zorlaştırır.
Bu nedenle bu grup, kötü amaçlı yazılım yükünün mümkün olan maksimum güvenilirlikle teslimini kolaylaştırmak için Windows arama işlevselliğinden ve web protokollerinden gelişmiş bir şekilde yararlanmaya başladı.
Windows arama URI protokolü, verilen komutlar aracılığıyla ilgili kayıt defteri girdilerinin kaldırılmasıyla saldırı ve engelleme amacıyla kötüye kullanılacaktır.
Arama işlevini kötüye kullanan komut dosyalarını etkinleştirmeyi amaçlayan kötü amaçlı HTML ekini tanımlamak için Trustwave tarafından güncellemeler yapılmıştır.
Bu sosyal mühendislik saldırısı herhangi bir otomasyon kullanmaz, bunun yerine kötü amaçlı etkinlikleri, ekleri açmak gibi günlük işlermiş gibi gizler ve sonuç olarak kullanıcıların tipik arayüzlere olan güveninden yararlanır.
Sürekli değişen bir senaryoda bu tür tehdide karşı koymak için aldatıcı teknikler değiştiğinden, sürekli kullanıcı eğitimi ve proaktif güvenlik önlemleri hayati önem taşımaktadır.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free