Karmaşık yürütme zincirleriyle karakterize edilen çok aşamalı siber saldırılar, tespit edilmekten kaçınmak ve mağdurları yanlış bir güvenlik duygusuna kaptırmak için tasarlanmıştır. Nasıl çalıştıklarını bilmek onlara karşı sağlam bir savunma stratejisi oluşturmanın ilk adımıdır. Şu anda aktif olan en yaygın çok aşamalı saldırı senaryolarından bazılarının gerçek dünyadaki örneklerini inceleyelim.
Belgelerdeki URL’ler ve Diğer Gömülü İçerik
Saldırganlar sıklıkla PDF veya Word dosyaları gibi görünüşte meşru belgelerdeki kötü amaçlı bağlantıları gizler. Belgeyi açıp gömülü bağlantıya tıkladıktan sonra kullanıcılar kötü amaçlı bir web sitesine yönlendiriliyor. Bu siteler genellikle kurbanın bilgisayarına kötü amaçlı yazılım indirmesini veya şifrelerini paylaşmasını sağlamak için aldatıcı taktikler kullanır.
Bir diğer popüler gömülü içerik türü de QR kodlarıdır. Saldırganlar, kötü amaçlı URL’leri QR kodlarının içine gizler ve bunları belgelere ekler. Bu strateji, kullanıcıları kodu taramak için mobil cihazlarına dönmeye zorlar ve bu da onları kimlik avı sitelerine yönlendirir. Bu siteler genellikle oturum açma kimlik bilgilerini talep eder ve bunlar, giriş anında saldırganlar tarafından hemen çalınır.
Örnek: QR Kodlu PDF Dosyası
Tipik bir saldırının nasıl gerçekleştiğini göstermek için, kötü amaçlı dosyaları ve URL’leri incelemek için güvenli bir sanal ortam sunan ANY.RUN Sandbox’ı kullanalım. Bu bulut tabanlı hizmet, etkileşimi sayesinde tıpkı standart bir bilgisayardaki gibi sistemle etkileşime geçmemize olanak sağlıyor.
Kara Cuma teklifiyle 3 adede kadar ANY.RUN lisansını hediye olarak alın→
Analizimizi basitleştirmek amacıyla, saldırıyı tetiklemek veya örnek yürütmeyi otomatik olarak gerçekleştirmek için gereken tüm kullanıcı eylemlerini gerçekleştirebilen Otomatik Etkileşim özelliğini etkinleştireceğiz.
 |
| ANY.RUN sanal alanında kötü amaçlı QR kodu içeren kimlik avı PDF’si açıldı |
QR kodu içeren kötü amaçlı bir .pdf dosyasının yer aldığı bu sanal alan oturumunu düşünün. Otomasyon açıkken hizmet, kodun içindeki URL’yi çıkarır ve tarayıcıda kendisi açar.
 |
| Kurbanlara kimlik bilgilerini paylaşmalarının teklif edildiği son kimlik avı sayfası |
Birkaç yeniden yönlendirmenin ardından saldırı bizi bir Microsoft sitesini taklit etmek üzere tasarlanmış son kimlik avı sayfasına götürür. Tehdit aktörleri tarafından kontrol ediliyor ve kullanıcıların giriş ve şifre verilerini girildiği anda çalacak şekilde yapılandırılmış.
 |
| Suricata IDS kuralı, analiz sırasında bir kimlik avı alanı zinciri tespit etti |
Korumalı alan, saldırı sırasında meydana gelen tüm ağ etkinliğini gözlemlemeyi ve tetiklenen Suricata IDS kurallarını görmeyi mümkün kılar
Analiz tamamlandıktan sonra ANY.RUN sanal alanı kesin bir “kötü amaçlı etkinlik” kararı sağlar ve tehdit hakkında IOC’lerin listesini de içeren bir rapor oluşturur.
Çok Aşamalı Yönlendirmeler
Çok aşamalı yönlendirmeler, kullanıcıları birden fazla siteye yönlendiren ve sonuçta kötü amaçlı bir hedefe yönlendiren bir dizi URL’yi içerir. Saldırganlar, yönlendirmelerin meşru görünmesini sağlamak için genellikle Google gibi güvenilir alanları veya TikTok gibi popüler sosyal medya platformlarını kullanır. Bu yöntem, nihai kötü amaçlı URL’nin güvenlik araçları tarafından algılanmasını zorlaştırır.
Bazı yönlendirme aşamaları, otomatik çözümlerin ve filtrelerin kötü amaçlı içeriğe erişmesini önlemek için CAPTCHA zorlukları içerebilir. Saldırganlar ayrıca kullanıcının IP adresini kontrol eden komut dosyaları da içerebilir. Güvenlik çözümlerinin yaygın olarak kullandığı barındırma tabanlı bir adresin tespit edilmesi durumunda saldırı zinciri kesintiye uğrar ve kullanıcı meşru bir web sitesine yönlendirilerek phishing sayfasına erişim engellenir.
Örnek: Kimlik Avı Sayfasına Yönelik Bağlantı Zinciri
Burada, görünürde meşru bir TikTok bağlantısından başlayan saldırı zincirinin tamamını gösteren bir sanal alan oturumu bulunmaktadır.
 |
| Bir Google alanına yönlendirme içeren TikTok URL’si |
Ancak daha yakından bakıldığında, tam URL’nin meşru bir Google alanına yönlendirmeyi nasıl içerdiği ortaya çıkar.
 |
| ANY.RUN, saldırının bir sonraki aşamasına geçerek CAPTCHA’yı otomatik olarak çözer |
Saldırı, buradan yönlendirmeyle başka bir siteye ve ardından CAPTCHA mücadelesiyle korunan son kimlik avı sayfasına geçer.
 |
| Kullanıcı verilerini çalmayı amaçlayan sahte Outlook sayfası |
Gelişmiş içerik analizi sayesinde sanal alan bu CAPTCHA’yı otomatik olarak çözerek kurbanların kimlik bilgilerini çalmak için tasarlanmış sahte sayfayı gözlemlememize olanak tanır.
E-posta Ekleri
E-posta ekleri, çok aşamalı saldırılar için yaygın bir vektör olmaya devam ediyor. Geçmişte saldırganlar sıklıkla kötü amaçlı makrolar içeren Office belgeleri içeren e-postalar gönderiyordu.
Şu anda odak noktası, veriler ve komut dosyaları içeren arşivlere kaymıştır. Arşivler, tehdit aktörlerinin kötü amaçlı yürütülebilir dosyaları güvenlik mekanizmalarından gizlemesi ve dosyaların güvenilirliğini artırması için basit ve etkili bir yöntem sağlar.
Örnek: Formbook Kötü Amaçlı Yazılım içeren E-posta Eki
Bu sanal alan oturumunda, .zip eki içeren bir kimlik avı e-postası görebiliriz. Hizmet, içinde birkaç dosya bulunan arşivi otomatik olarak açar.
 |
| Arşiv içeren kimlik avı e-postası |
Akıllı İçerik Analizi ile hizmet, ana yükü tanımlar ve onu başlatır; bu da yürütme zincirini başlatır ve kötü amaçlı yazılımın canlı bir sistemde nasıl davrandığını görmemize olanak tanır.
 |
| FormBook’un C2 ile bağlantısını tespit etmek için kullanılan Suricata IDS kuralı |
Korumalı alan, FormBook’u algılar ve tüm ağ ve sistem etkinliklerini günlüğe kaydetmenin yanı sıra ayrıntılı bir tehdit raporu da sağlar.
ANY.RUN’dan Kara Cuma Fırsatınızı Alın
Siber saldırıları hızla tanımlamak için ANY.RUN sanal alanındaki şüpheli e-postaları, dosyaları ve URL’leri analiz edin. Otomatik Etkileşim ile hizmet, gerekli tüm analiz adımlarını kendi başına gerçekleştirerek size zaman kazandırır ve elinizdeki tehdide ilişkin yalnızca en önemli bilgileri sunar.
 |
| ANY.RUN’dan Kara Cuma teklifi |
ANY.RUN şu anda Kara Cuma fırsatları sunuyor. 8 Aralık’tan önce kendinizinkini alın:
- Bireysel kullanıcılar için: 1 lisans fiyatına 2 lisans.
- Takımlar için: ANY.RUN’un en son tehdit verilerinin aranabilir veritabanı olan Tehdit İstihbaratı Araması için en fazla 3 lisans + yıllık temel plan;
Tüm teklifleri görün ve hizmeti bugün ücretsiz denemeyle test edin →
Çözüm
Çok aşamalı saldırılar hem kuruluşlar hem de bireyler için önemli bir tehdittir. En yaygın saldırı senaryolarından bazıları, URL’leri ve belgelere yerleştirilmiş olanları, QR kodlarını, çok aşamalı yönlendirmeleri, e-posta eklerini ve arşivlenmiş yükleri içerir. Bunları ANY.RUN’un Etkileşimli sanal alanı gibi araçlarla analiz ederek altyapımızı daha iyi savunabiliriz.