Kimlik Avı Önleme, DMARC, Dolandırıcılık Yönetimi ve Siber Suç
Statik Tarama Sınırlamaları Kötü Amaçlı Yazılımların Kurumsal Ağa Taşınmasına Neden Oluyor
Prajeet Nair (@prajeetskonuşuyor) , David Perera (@daveperera) •
24 Temmuz 2024
Cofense’deki araştırmacılar, yakın zamanda gerçekleşen bir bilgi hırsızlığı kampanyasını ortaya çıkararak, kimlik avı yapan bilgisayar korsanlarının kötü amaçlı yazılımları güvenli e-posta ağ geçidi savunmalarından geçirmek için yeni bir teknik geliştirdiğini söyledi.
Ayrıca bakınız: Microsoft 365’i İnsan Odaklı Güvenlikle Güçlendirme
E-posta güvenliği şirketi, Çarşamba günü yayınladığı raporda, uluslararası bir finans firmasının İspanyolca konuşan çalışanlarını hedef alan bilgisayar korsanlarının, Cisco IronPort cihazının statik tarama işlevlerini bozabildiklerini, ancak tekniğin çoğu üretici tarafından üretilen güvenli e-posta ağ geçitlerinde başarılı olma ihtimalinin yüksek olduğunu belirtti.
Teknik kavramsal olarak karmaşık değildir; kötü amaçlı ekin gerçek dosya uzantısını tarayıcıdan gizlemeye dayanır, böylece sahte bir dosya uzantısı ortaya çıkar. Bilgisayar korsanları kötü amaçlı dosyayı sıkıştırılmış bir arşive yerleştirir. E-posta ağ geçitlerinin arşivlenmiş bir dosyanın içeriğini nasıl ayrıştırdığı nedeniyle, onu yanıltıcı bir şekilde bir mpeg dosya. Bilgisayar korsanları gerçek .html Dosya alt bilgisinde dosya uzantısı vardı, ancak IronPort başlık ile alt bilgi arasındaki uyuşmazlığı yakalayamadı.
Bilgi Güvenliği Medya Grubu, yorum almak için Cisco ile iletişime geçmeye çalıştı ancak hemen bir yanıt alamadı.
Cofense’de tehdit istihbaratı yöneticisi olan Max Gannon, “Başlıklar genellikle güvenilir kabul edilir” dedi. “Bir program yeterince akıllı değilse, başlığın söylediği her şeyi olduğu gibi kabul edecektir.”
Cofense’nin kötü amaçlı dosyayı araştırmak için kullandığı bazı sıkıştırma açma uygulamaları uyumsuzluğu işaretleyebildi; ancak ironik bir şekilde, kötü amaçlı dosyayı bir mpeg dosyası yerine bir HTML dosyası olarak ele alan masaüstü uygulamaları da kötü amaçlı kodu etkinleştirdi.
Gannon, statik tarama sınırlamalarını bu şekilde istismar etmenin şimdiye kadar yaygın olarak kullanılan bir taktik olmadığını söyledi. “Bunu daha önce gerçekten görmedik. Dürüst olmak gerekirse, bunun işe yarayıp yaramayacağını görmek için suyu test eden biri olduğunu düşünüyorum – ve işe yaradı, çok iyi.” Bu tekniğin bilinen hiçbir kimlik avı kitinde görünmediğini de sözlerine ekledi.
Gannon, bilgisayar korsanlarının hedef aldıkları finans kuruluşuna bilgi hırsızlığı yazılımıyla virüs bulaştırıp bulaştırmadıklarından emin olmadıklarını ancak en azından bir iş istasyonunda başarılı olmalarının muhtemel olduğunu söyledi.
Gannon, ağ geçitleri tarafından e-posta eklerinin dinamik olarak taranmasının ideal çözüm olacağını söyledi, ancak işlem gücü sınırlamaları bu çözümü çok pahalı hale getiriyor. Statik taramanın yine de daha iyi bir iş çıkarabileceğini söyledi. Başlık ve alt bilgideki dosya türü arasındaki bir uyumsuzluk, işaretlerin ortaya çıkmasına neden olmalı. Gannon ayrıca ekin içine sıkıştırılmış kodun kötü amaçlı yazılıma dair oldukça belirgin olduğunu söyledi. Kod çıkarmak için dosyaların sıkıştırılmış halini açmak, kabul etmek gerekir ki, işlem gücüne daha fazla talepte bulunacaktır. Gannon, özellikle büyük arşivlenmiş dosyaların analiz edilmesinin çok pahalı olabileceğini söyledi.
Ayrıca, güvenli e-posta ağ geçidi kodlayıcılarının, arşivleme sürecinin nasıl çalıştığını istismar etmenin bir yolu olan, çıkarıldığında 200 bayttan 200 terabayta kadar devasa boyutlara ulaşan “zip bombalarına” izin vermesi gerekeceğini söyledi.
Gannon, güvenli e-posta ağ geçitlerinin daha fazla statik analiz gerçekleştirmediğini, çünkü “bunu söylemenin hoş bir yolu olmadığını, ancak temelde tembel olduklarını” söyledi.
Üreticilerin “genellikle bu konuda uyarılmadıklarını, bu yüzden de bunu yapmak için ekstra çaba sarf etmediklerini” söyledi.
Cofense’deki araştırmacılar geçen hafta yayınladıkları bir raporda saldırganların VIPRE, BitDefender, Hornet Security ve Barracuda gibi e-posta güvenlik ürünlerinden giderek daha fazla kaçtığını ve URL’leri tek bir güvenli e-posta ağ geçidi ürünüyle kodlayıp kötü amaçlı bağlantıyı gönderdiklerini söyledi. Bir güvenlik cihazı tarafından kodlanan bağlantılar genellikle başka bir güvenlik ağ geçidi tarafından yeniden taranmaz ve bu da saldırgana serbest geçiş hakkı verir.