Menlo Security Siber Güvenlik Stratejisi Kıdemli Direktörü Mark Guntrip tarafından
Web tarayıcısını silah haline getirmeyi öğrenmiş yeni bir saldırgan türü ortaya çıktı.
Artık tarayıcıları tehlikeye atmak, uç noktaya ilk erişimi elde etmek ve fidye yazılımı veya kötü amaçlı yazılım gibi tehditleri dağıtmak için kullandıkları Yüksek Derecede Kaçınma Uyarlanabilir Tehditler (HEAT) saldırıları, tespit edilmekten kurtulma yetenekleriyle dikkat çekiyor. Bu ve uç noktalara kötü amaçlı yükler alma yetenekleri, HEAT saldırılarının Gelişmiş Kalıcı Tehditler veya APT’ler ile karıştırılabileceği anlamına gelir. Ancak ikisi arasında bazı temel farklılıklar vardır ve saldırı öldürme zincirinin çok farklı aşamalarında çalışırlar.
Peki, HEAT saldırıları ile APT’ler arasındaki farklar nelerdir?
ISITMA nedir?
HEAT saldırılarına baktığınızda, hacim açısından pek çok tehdit var. Tehdit aktörleri için kilit nokta, başarı şanslarını en üst düzeye çıkarmaktır ve bu bir sayı oyunudur. Saldırganlar için iki anahtar kelime, “kaçamak” ve “uyarlanabilir” çok önemlidir çünkü onlar, tehditlerin tespit edilmekten kaçınmak için mümkün olduğunca kaçamak olmasını isterler.
Bu, tipik olarak yürürlükte olan belirli bir teknolojiyi veya güvenlik tekniğini nasıl atlayacaklarını anladıkları anlamına gelir. İster e-postada kimlik avı tespiti ister korumalı alanda olsun, bir kuruluşta oldukça iyi anlaşılmış bir ‘standart’ teknoloji seviyesi vardır ve eğer bu tür bir tespitten kaçınabileceklerini bilirlerse, çok daha yüksek bir başarı düzeyine sahip olurlar.
HEAT’ın ‘adaptif’ tarafı ile, bu kaçamaklığı sürdürmek için zaman içinde bu şekilde değişir. Saldırganların, içerik ve kötü amaçlı yazılımla dolu bir etki alanını kaydettirmek ve dışarı atmak için hızlı hareket etmek yerine, URL itibar sistemlerinin bir sitenin kötü amaçlı olup olmadığını anladığı ve yapacağını bildiği şekilde davrandığı URL itibarından kaçınma buna bir örnektir. meşru olarak sınıflandırılabilir. Saldırganlar, bir etki alanını kullanmadan önce belirli bir süre için kaydettirir, bu nedenle yeni değildir. Daha sonra onu alakalı içerikle doldururlar, böylece belirli bir şekilde kategorize edilir. Sitenin iyi görüldüğünü onayladıktan sonra, siteyi bir saldırı için kullanıyorlar. URL itibar çözümleri veya motoru değişirse, HEAT saldırısı için kullanmadan önce yaptıklarını değiştirirler.
Genel olarak tehditler artıyor, ancak HEAT saldırıları da artıyor. HEAT saldırıları, Ransomware as a Service (RaaS) operatörleri tarafından ilk erişimi elde etmek için kullanılabilir. Bazı saldırganların tüm iş modeli, olabildiğince çok ağa ilk erişim elde etmek ve ardından bu ağa kötü amaçlı yazılım dağıtmak isteyen birine satmaktır. Tek bir ihlalle beş, 10, 100 veya daha fazla tehdit aktörünün kötü amaçlı yazılımlarını bir ağa koymasına neden olacak şekilde yalnızca bir kişiye değil, birden çok kişiye satacaklar.
APT’ler nedir?
APT, tespit edilemeyecek şekilde tasarlanmış bir tehdit sınıfıdır. Ağa girdikten sonra, mümkün olduğu kadar uzun süre orada kalırlar ve etrafa bakmak, veri veya kimlik bilgilerini çalmak veya fidye yazılımı dağıtmak gibi bir saldırganın ağda yapmak istediği her şeyi yaparlar. Genellikle ulus veya devlet destekli gruplar tarafından yüksek değerli hedeflerin peşine düşmek için ve daha yakın zamanda da suç amaçlı yazılım grupları tarafından kullanılırlar.
İkisi arasındaki fark nedir?
Bunlar aynı madalyonun iki yüzü veya aynı sürecin iki parçasıdır. Temel fark, bir HEAT saldırısının bir hedef ağa ilk erişimi kazanması ve bir APT’nin içeride konuşlandırıldıktan sonra hasarı vermesidir. HEAT saldırısının kendisi herhangi bir hasar vermez, ancak zarar veren şeyi verir. Ancak aynı saldırıda bir araya getirilip kullanılabildikleri için ayrı ve ayrı olarak düşünülmeleri gerekmez. Örneğin Nobelium saldırısında, APT’leri kurbanlara teslim etmek için bir HEAT özelliği olan HTML kaçakçılığı kullanıldı.
Siber güvenlik ekipleri HEAT saldırıları hakkında neleri bilmeli?
Hibrit ve uzak modeller ve kurumsal ağa bağlı herhangi bir cihazda çalışan kişiler ile bunların hepsi tek bir sistem gibi ele alınmalıdır. Örneğin, bir kullanıcı kişisel iCloud’una bağlı bir Mac kullanıyorsa, gelen ve ona saldıran her şey bir şirket aygıtına aktarılabilir. Bunun potansiyel etkisi, özellikle HEAT saldırıları söz konusu olduğunda, çok büyük. Birisi kişisel bir cihaza ilk kez erişirse, daha sonra şirket kaynaklarına erişmek için kullanılabilir. Tüm bu aynı haklara sahip, şirkete ait bir cihaza ilk erişime sahip olmakla hemen hemen aynı şey.
Saldırganlar, halihazırda yürürlükte olan araç ve sistemlerden kaçmakta ve aynı zamanda kullanıcıları bir tehdidi etkinleştirmek için bir bağlantıya tıklamaları veya bir dosya indirmeleri için kandırmakta daha iyi hale geliyor. HEAT saldırıları, nasıl çalıştıkları ve neler yapabilecekleri hakkında daha fazla eğitim ve farkındalığın yanı sıra HEAT saldırısının neye benzediği konusunda daha iyi görünürlük gerekiyor. Sektörde önleme hakkında çok konuşuyoruz ama aynı zamanda daha iyi tespit seviyelerine sahip olmamız gerekiyor.
Son olarak ve en önemlisi, tarayıcıda görünürlük elde etmektir. HEAT saldırıları tarayıcıda mevcuttur ve uç nokta güvenlik çözümlerinin bir tarayıcının içinde neler olup bittiğine dair görünürlüğü olmayabilir. Tarayıcı yalnızca bir kör nokta değil, aynı zamanda en çok hedeflenen erişim noktasıdır.
yazar hakkında
Mark Guntrip, Menlo Security’de dünyanın dört bir yanındaki güvenlik liderlerine yönelik tehditlerin geleceğini dile getirmekten sorumlu Siber Güvenlik Stratejisi Kıdemli Direktörüdür. Mark, Menlo Security’ye katılmadan önce Proofpoint, Symantec, Cisco ve diğer bazı önde gelen siber güvenlik sağlayıcılarında güvenlik stratejisti olmuştur.