CoFense Intelligence’daki siber güvenlik araştırmacıları, geleneksel e -posta güvenlik önlemlerinden kaçarken kimlik bilgisi kimlik avı sayfalarını doğrudan kullanıcıların gelen kutularına sunmak için karmaşık bir kimlik avı taktikten kaldıran karmaşık bir kimlik avı taktikinden (tek tip kaynak tanımlayıcıları) belirlediler.
Tipik olarak tarayıcılar tarafından görüntüler, ses veya video dosyaları gibi geçici verileri işlemek için kullanılan BLOB URI’leri, tehdit aktörleri tarafından güvenli e -posta ağ geçitlerini (SEG’ler) atlamak ve otomatik analizi engellemek için silahlandırılıyor.
YouTube gibi meşru platformlar, bir kullanıcının tarayıcıdan kaynaklanan erişim kontrolünde ve azaltılmış ağ trafiğinde yerel olarak depolamak için BLOB URI’leri kullanır-ancak bu aynı mekanizma, şüpheli olmayan kurbanlara otantik görünen kötü niyetli HTML içeriği oluşturmak için istismar edilmektedir.
.png
)
Kaçma Tekniği Teşvik Tarayıcı
Saldırı zinciri, genellikle şifreli mesajlar, finansal uyarılar veya vergi hesabı erişimi ile ilgili bir cazibe kullanarak SEG savunmalarını geçen bir kimlik avı e -postasıyla başlar.
E -posta, doğrudan kötü amaçlı bir siteye bağlantı vermek yerine, kullanıcıları meşru bir Microsoft bulut depolama hizmeti olan onedrive.live.com gibi aracı, izin verilen bir alana yönlendirir.
Bu adım, e -postanın güvenlik sistemleri tarafından derhal işaretlemeyi önlemesini sağlar.
Oradan, izin verilen sayfa, kurbanın tarayıcı belleğinde bir Blob Uri olarak bir kimlik bilgisi avı sayfasını çözen ve depolayan bir tehdit aktör kontrollü HTML sayfasına yönlendirir.
“Blob: http: //” veya “blob: https: //” gibi öneklerle tanımlanabilir, bu URIS yerel verileri internet üzerinden erişilemez ve uzaktan analiz edilmelerini neredeyse imkansız hale getirir.
Genellikle OneDrive gibi güvenilir hizmetleri taklit eden kimlik avı sayfası, kullanıcıları kimlik bilgilerini girmeye yönlendirir ve daha sonra saldırganın bitiş noktasına söndürülür.
Blob uris gizli saldırıları nasıl kolaylaştırır?
Cofense raporuna göre, bu tekniği özellikle sinsi yapan şey, tespitten kaçınma yeteneğidir.
Blob URI’ler tarayıcıya özgü ve yerel olarak üretildiğinden, geleneksel kimlik avı URL’lerinin yapabileceği gibi harici güvenlik araçları tarafından erişilemez veya taranamazlar.
Ayrıca, meşru aracı sitelerinin kullanımı, kullanıcılar arasındaki şüpheyi azaltarak bir güvenilirlik katmanı ekler.
Örneğin, gerçek bir Microsoft sayfasına inen kurbanların, kötü amaçlı blob uri barındırılmış giriş formuna yönlendirilmeden önce kırmızı bayrakları tespit etmeleri olası değildir.
Bu alışılmadık taktiklerin ve çoklu yönlendirmelerin bu kombinasyonu, AI güdümlü algılama modellerindeki boşlukları kullanır, bu da henüz meşru ve kötü niyetli blob URI kullanımı arasında ayrım yapmak için eğitilmez.
Blob Uris’in kimlik avı kampanyalarında benimsenmesi, geleneksel savunmaları ortadan kaldırmak için nispeten belirsiz bir tarayıcı özelliğinden yararlandığı için siber suçlarda bir trendle ilgili bir eğilim gösteriyor.
SEG’lerin yerel olarak işlenen bu tehditleri tanımlamak için mücadele ederken, kontrol edilmeden bırakılırsa tekniğin kullanımının büyümesi bekleniyor.
Savunucular, otomatik analiz araçları yalnızca bir kullanıcının tarayıcısında var olan içeriği denetleme yeteneklerinde sınırlı olduğundan, bu kaçak yöntemine uyum sağlamada önemli zorluklarla karşı karşıyadır.
Tehdit aktörleri yöntemlerini geliştirmeye devam ettikçe, kuruluşlar e -posta etkileşimlerindeki anomalileri tespit etmek için kullanıcı farkındalığını önceliklendirmeli ve ileri davranışsal analiz uygulamalıdır.
Meşru teknolojinin kesişimi ve Blob Uri saldırıları tarafından sergilenen kötü niyetli niyet, siber güvenlik tehditlerinin sürekli gelişen doğasının altını çiziyor, rakiplerin önünde kalmak için uyanıklık ve inovasyon talep ediyor.
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir