Bir zamanlar sakin bir çayır olan dijital manzara, saldırganların ve güvenlik satıcılarının sürekli bir silahlanma yarışına girdiği bir savaş alanına dönüştü.
Savunmalar daha karmaşık hale geldikçe, saldırganlar da buna uyum sağlayarak güvenlik ürünlerini atlatmak ve zarar vermek için ustaca kaçınma teknikleri tasarlarlar.
Yakın zamanda Trellix Email Security tarafından ortaya çıkarılan böyle bir taktik, bir aldatma ağı örmek ve şüphelenmeyen kullanıcıları tehlikeye atmak için güvenliğin temelinden (önbellekleme) yararlanıyor.
- Coğrafi sınırlama: Kötü amaçlı içerik, belirli bölgelerde zararsızmış gibi görünerek başka yerlerde tespit edilmekten kaçınır.
- Captcha Baypası: Otomatik mekanizmalar captcha’ları atlatarak URL veri yükü analizini engeller.
- IP Kaçırma: Kara listeye alınan IP’ler, saldırganları incelemeden koruyarak yüklerinin gizli kalmasını sağlar.
- QR Kodu Kimlik Avı: QR kodunun belirsizliği, geleneksel e-posta güvenlik filtrelerini atlayarak kimlik avı saldırılarının önünü açar.
Önbellek Zehirlenmesi: Aldatmada Ustalık Sınıfı
Trellix Email Security, güvenlik ürünlerinin performansı optimize etmek için kullandığı bir mekanizma olan önbelleğe almayı kullanan yeni bir kaçırma taktiğini ortaya çıkardı.
Önbelleğe alma, URL’lerin analiz sonuçlarının geçici olarak saklanmasını içerir. Aynı URL ile tekrar karşılaşıldığında, analizi yeniden gerçekleştirmek yerine önbelleğe alınan karar alınır ve değerli kaynaklardan tasarruf sağlanır.
Bu yenilikçi saldırı üç farklı aşamada ortaya çıkıyor:
Aşama 1: Baştan Çıkarıcı Yem
Saldırı, genellikle OneDrive belge bağlantısı olarak gizlenen, görünüşte zararsız bir Harekete Geçirici Mesaj (CTA) URL’si içeren bir e-postayla başlıyor. Bu taktik, Microsoft’un etki alanının doğasında olan güvenden yararlanır.
Aşama 2: Gizlenmiş Yük
CTA URL’siyle karşılaşıldığında güvenlik motoru bunu analiz eder ve Google veya Microsoft gibi köklü bir web sitesine yönlendiren bir bağlantı keşfeder. Güvenli olduğunu düşünen motor bu kararı önbelleğe alır.
Aşama 3: Bukalemunun Sıçrayışı
URL güvenli olarak önbelleğe alındıktan sonra saldırganlar saldırır. CTA URL’sindeki görünüşte zararsız olan bağlantıyı gizlice değiştirerek onu gerçek kötü amaçlı yüke yönlendirirler.
Ancak önbelleğe alınan “güvenli” karar kalır ve CTA URL’si ile daha sonraki karşılaşmaların güvenlik analizini atlamasına ve alıcının gelen kutusuna düşmesine olanak tanır.
Önbelleğe alma mekanizmalarının bu karmaşık manipülasyonunu anlamak, etkili bir azaltma için çok önemlidir.
Küresel Bir Tehdit: Sınırların ve Endüstrilerin Ötesinde
Trellix telemetrisi, bu önbellek zehirlenmesi saldırılarının münferit olaylar olmadığını ortaya koyuyor. Bu tekniğin evrenselliğini vurgulayarak farklı sektör ve bölgelerdeki kullanıcıları hedef aldılar.