Bilgisayar korsanları, kullanıcı kimlik bilgilerini saklama yeteneklerini istismar ederek web tarayıcılarına giderek daha fazla odaklanıyor. Bu odak değişiminin bireyler ve kuruluşlar için önemli etkileri var.
Bu makalede siber suçluların kullandığı yöntemler, istismar ettikleri güvenlik açıkları ve bu tehditleri azaltmak için alınabilecek proaktif önlemler ele alınmaktadır.
Tarayıcı Tabanlı Kimlik Hırsızlığının Artışı
Google Chrome ve Microsoft Edge gibi modern web tarayıcıları, kullanıcı kolaylığını artırmak için parola depolama gibi özellikler sunarak, internet kullanıcıları için vazgeçilmez araçlar haline geldi.
Bu kimlik bilgileri, hassas bilgileri korumak için Veri Koruma API’sini (DPAPI) kullanarak şifrelenmiş bir biçimde saklanır. Bu güvenlik önlemlerine rağmen, bilgisayar korsanları bu korumaları aşmak ve saklanan kimlik bilgilerine erişmek için karmaşık teknikler geliştirdiler.
Tehdit Manzarasını Anlamak
Web tarayıcılarından kimlik bilgilerini çalma tekniği yeni değildir. T1555.003 kimliği altında MITRE ATT&CK çerçevesinin bir parçasıdır ve siber saldırı stratejilerinde yaygınlığını vurgular.
Tehdit aktörleri genellikle bir sisteme ilk erişimi sağladıktan sonra bu kimlik bilgilerini hedef alır, bunları kullanarak ayrıcalıkları artırır ve ağ içinde yatay olarak hareket eder.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial
Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti’ne (LSASS) saldırmak gibi geleneksel yöntemlerden uzaklaşılması, uç nokta güvenlik çözümlerindeki gelişmiş tespit yeteneklerinden kaynaklanmaktadır.
Bilgisayar Korsanları Tarayıcı Güvenlik Açıklarını Nasıl İstismar Ediyor?
Bilgisayar korsanları, tarayıcıların hassas bilgileri depoladığı belirli dosya konumlarını kullanır. Örneğin, Google Chrome ve Microsoft Edge, kimlik bilgilerini ve çerezleri kullanıcının AppData klasöründe depolar.
ipurpleteam’in raporuna göre saldırganlar bu dosyalara erişmek ve saklanan bilgileri şifresini çözmek için SharpChrome ve LaZagne gibi araçları sıklıkla kullanıyor.
Bu araçlar, verileri şifresini çözmek için CryptUnprotectData API’sini kullanıyor ve bu da güvenlik ekipleri için önemli bir zorluk oluşturuyor.
Example Code: CryptProtectData API
BOOL CryptProtectData(
[in] DATA_BLOB *pDataIn,
[in, optional] LPCWSTR szDataDescr,
[in, optional] DATA_BLOB *pOptionalEntropy,
[in] PVOID pvReserved,
[in, optional] CRYPTPROTECT_PROMPTSTRUCT *pPromptStruct,
[in] DWORD dwFlags,
[out] DATA_BLOB *pDataOut
);
Bu kod parçası, saldırganların atlatmayı amaçladığı, tarayıcıların verileri şifrelemek için kullandığı API’yi göstermektedir.
Savunma Stratejileri: Tespiti ve Tepkiyi Geliştirme
Bu tehditlere karşı koymak için kuruluşlar tespit stratejilerine öncelik vermelidir. CryptUnprotectData gibi hassas dosyalara ve API’lere erişen tarayıcı dışı işlemleri izlemek hayati önem taşır.
Güvenlik ekipleri imza tabanlı yöntemler yerine davranış tabanlı tespite odaklanmalıdır. Bu yaklaşım, kimlik bilgisi hırsızlığı girişimlerini gösteren anormal etkinlikleri belirlemeye yardımcı olur.
Tespit FırsatlarıYukarıdaki görsel, kimlik hırsızlığı faaliyetlerini tespit etmek için gerekli olan tespit katmanlarını ve veri bileşenlerini göstermektedir.
Proaktif Güvenlik Önlemlerinin Uygulanması
Kuruluşlar, tespit yeteneklerini değerlendirmek için mor takım tatbikatları da dahil olmak üzere düzenli güvenlik değerlendirmeleri yapmalıdır.
Bu egzersizler, güvenlik kontrol açıklarının belirlenmesine ve kötü amaçlı faaliyetleri yakalamak için tespit kurallarının etkili bir şekilde ayarlanmasına yardımcı olur.
Ayrıca, süreç oluşturma ve dosya erişim günlüğü tutma gibi ayrıntılı denetim politikalarının etkinleştirilmesi, olası tehditlere ilişkin görünürlüğü artırabilir.
Bilgisayar korsanları taktiklerini geliştirdikçe, kuruluşların siber güvenlik çabalarında dikkatli ve proaktif olmaları gerekiyor.
Siber suçluların kullandığı yöntemleri anlayarak ve güçlü tespit ve yanıt stratejileri uygulayarak işletmeler hassas bilgilerini koruyabilir ve kimlik bilgisi hırsızlığı riskini en aza indirebilir.
Sürekli değişen tehdit ortamında bilgi sahibi olmak ve buna uyum sağlamak, güvenli bir dijital ortamı sürdürmenin anahtarıdır.
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!