Bu tehditler karmaşık bir şekilde gelişmeye devam ettikçe ve geleneksel savunmaları aşmak için daha karmaşık teknikler kullanıldıkça, kimlik avı saldırılarını analiz etmek zorlayıcı hale geldi.
Bu tür saldırıları analiz etmek için kullanılan araçların da uyarlanması gerekir; saldırganların yaratıcılığına ayak uydurabilmek için sürekli iyileştirme yapılması gerekir.
Gerçek dünyadaki birkaç kimlik avı saldırısını inceleyelim ve aşağıdaki gibi gelişmiş araçları kullanarak bunların nasıl etkili bir şekilde analiz edileceğini gösterelim: ANY.RUN etkileşimli sanal alan.
TI Aramasında MITRE Matrisini Kullanarak Yeni Kimlik Avı Örneklerini Bulma
Kimlik avı saldırılarının analizine dalmadan önce bunları nerede bulacağınızı bilmek önemlidir. HERHANGİ BİR Arama ÇALIŞMASI ana sayfa şunları entegre eder: GÖNYE ATT&CK MatrisiTehditleri belirlemek ve TTP’leri toplamak için hızlı ve etkili bir başlangıç noktası sunar.
Matris, her taktiği ve tekniği gerçek dünyadaki kötü amaçlı yazılım analiz oturumlarına bağlar. Basitçe Kimlik Avı tekniğine gidin ve ilgili alt teknikleri keşfetmek için üzerine tıklayın.
Her alt teknik, ilgili analiz oturumlarına erişim sağlayarak kimlik avı saldırılarının farklı senaryolarda nasıl ortaya çıktığını ve çalıştığını anlamanıza yardımcı olur.
Sonuç olarak, yalnızca yeni kimlik avı örneklerini bulmakla kalmayacak, aynı zamanda bunların davranışlarına ilişkin eyleme dönüştürülebilir bilgiler de elde edebileceksiniz.
Kimlik Avı Saldırılarına Örnekler ve Bunları Analiz Etme Yolları
Artık gerçek dünyadaki phishing saldırılarının örneklerini nasıl bulabileceğimizi bildiğimize göre, farklı saldırı türlerini keşfetmenin ve bunları nasıl kolayca analiz edebileceğimizi keşfetmenin zamanı geldi.
Excel eki ve içinde bağlantı bulunan kimlik avı e-postası
Bu tür kimlik avı saldırısı, kullanıcıları kötü amaçlı web sitelerine yönlendirmek veya kötü amaçlı yazılım dağıtmak için tasarlanmış gömülü bağlantılar içeren bir Excel dosyasından yararlanır.
Bunun gibi saldırılar, aşağıdaki gibi güvenli ortamlar kullanılarak güvenli bir şekilde analiz edilebilir: ANY.RUN’un etkileşimli sanal alanı.
Aşağıda ayrıntılı bir analiz oturumuyla tamamlanan bu tür bir kimlik avı e-postası örneği verilmiştir: Analiz Oturumunu Görüntüle
İlk gözlemler
Oturumu çalıştırdıktan sonra saldırının niteliğini belirlemenin en kolay yolu sandbox arayüzünün sağ üst köşesini kontrol etmektir.
Burada, bu e-postanın kötü amaçlı bir dosya içerdiğini doğrulayan, ekler ve kimlik avı gibi etiketlerin eşlik ettiği bir kötü amaçlı etkinlik etiketi göreceksiniz.
Analyze phishing threats with ANY.RUN’s sandbox! Get 3 free ANY.RUN licenses this Black Friday!
Excel dosyasının incelenmesi
Excel dosyasını açmak, saldırganın güvenilirlik sağlamak için bir Dropbox logosu yerleştirmesiyle dosyanın meşru görünmesini sağlamaya yönelik bir girişimi ortaya çıkarıyor. Ancak belgenin içindeki bağlantıya tıklamak sizi kötü amaçlı bir veri barındıran bir web sitesine yönlendirir.
Yük teslimatı
Web sitesinde iki seçenek sunulur: PDF’yi görüntüle veya İndir. İndirme seçeneğinin seçilmesi, Microsoft hesabı kimlik bilgilerinizi isteyen başka bir siteye yönlendirir.
Buradaki en önemli tehlike işareti şüpheli URL’dir; uzun, aşırı karmaşık ve rastgele karakterlerle dolu. Bu, kimlik avının açık bir işaretidir.
Ağ göstergeleri ve tehdit tetikleyicileri
Ağ Bağlantıları sekmesindeki Tehditler bölümünü incelediğinizde, kimlik avı için tetiklenen bir Suricata kuralının olduğunu fark edeceksiniz. Bu, kötü niyetli faaliyetlere ilişkin daha fazla kanıt sağlayarak analiz bulgularını güçlendirir.
SVG dosyası içeren bir arşiv içeren kimlik avı e-postası
Bu kimlik avı saldırısı, arşiv eki içeren bir e-postayla başlar. Arşiv, AsyncRAT yükünü içeren şifrelenmiş bir arşivi indirmek için ağ geçidi görevi gören bir SVG dosyası içerir.
AsyncRAT, saldırganlar tarafından kurbanın sistemine yetkisiz erişim sağlamak için kullanılan bir Uzaktan Erişim Truva Atı’dır. İşte tam analiz oturumu: Analiz Oturumunu Görüntüleyin.
İlk e-posta ve arşiv
Kimlik avı e-postası, çıkarıldığında bir SVG dosyasını ortaya çıkaran bir ZIP dosyası içerir. SVG dosyaları, görünüşte zararsız doğaları nedeniyle genellikle kötü amaçlı etkinlikleri maskelemek için kullanılır.
SVG dosyasıyla etkileşim kurma
SVG dosyasını açtıktan sonra, bir düğme kullanıcıdan devam etmek için tıklamasını ister. Bu düğmeye tıklamak, kötü amaçlı bir web sitesine yönlendirir ve gerçek veriyi içeren başka bir şifrelenmiş ZIP dosyasının indirilmesini başlatır.
Şifrelenmiş dosyayla ilgilenme
İndirilen ZIP dosyası, içeriğini çıkarmak için bir şifre gerektirir. Saldırganlar akıllıca bir şekilde şifreyi ilk kimlik avı e-postasına yerleştirir ve kurbanı şifreyi alıp kullanmaya teşvik eder.
Yük çıkarma ve enfeksiyon
Şifre girildikten sonra arşiv, kurbanın sistemine yüklenen ve saldırganların makineyi uzaktan kontrol etmesine ve hassas bilgileri çalmasına olanak tanıyan AsyncRAT kötü amaçlı yazılımını açığa çıkarıyor.
PDF dosyası içeren kimlik avı saldırısı
Bu kimlik avı saldırısı, sonuçta hassas kimlik bilgilerini çalmaya çalışan çok adımlı bir süreci başlatmak için görünüşte zararsız bir PDF dosyasından yararlanır.
Saldırının Storm1747 ve Tycoon gibi kötü amaçlı yazılımlarla bağlantılı olması, modern kimlik avı kampanyalarının katmanlı karmaşıklığını ortaya koyuyor. İşte ayrıntılı analiz oturumu: Analiz Oturumunu Görüntüle
ANY.RUN’un sanal alanında ilk gözlem
PDF dosyası sanal alanda açıldığında, kullanıcıdan başka bir PDF indirmesini isteyen bir düğme görüntülenir. Bu düğmeye tıklamak bir dizi yönlendirmeyi başlatır.
Yönlendirme zinciri ve Cloudflare kullanımı
Yönlendirme, Cloudflare’in insan doğrulama sürecini kullanan bir web sitesine yönlendirir. ANY.RUN’da otomatik etkileşimi etkinleştirdiyseniz, korumalı alan sizin için bu adımı manuel giriş yapmadan tamamlayarak kusursuz analiz sağlar.
Kötü amaçlı web sitesi ve kimlik bilgileri toplama
Doğrulama işlemini tamamladıktan sonra Microsoft’un giriş sayfasını taklit eden bir web sitesi, kullanıcının Microsoft hesabı kimlik bilgilerini ister.
URL’ye hızlı bir bakış, bunun herhangi bir resmi Microsoft etki alanıyla ilgisi olmadığını ortaya koyuyor. Bağlantı aşırı derecede karmaşık ve gereksiz karakterlerle dolu; kimlik avı girişimini gösteren açık bir kırmızı bayrak.
Kötü Amaçlı Yazılım Göstergeleri
Korumalı alan, kötü niyetli davranışı yakalayıp vurgulayarak Storm1747 ve Tycoon kötü amaçlı yazılım etkinliğine dair kanıt göstererek saldırının amacını daha da doğrular.
Kimlik Avı Saldırılarının Temel Göstergeleri
Analiz edilen örneklere dayanarak, kimlik avı saldırılarının bazı ortak temel göstergelerini tanımlayabiliriz:
- Şüpheli ekler: Beklenmeyen bağlantılar veya istemler içeren Excel belgeleri, arşivler veya PDF’ler gibi dosyalar.
- Yanıltıcı URL’ler: Aşırı karmaşık, uzun veya rastgele karakterler içeren, genellikle meşru alanlarla ilgisi olmayan bağlantılar.
- Kimlik bilgisi talepleri: Microsoft gibi güvenilir platformları taklit edecek şekilde tasarlanmış sahte giriş sayfaları.
- Yönlendirme zincirleri: Kötü niyetli niyeti gizlemek için genellikle Cloudflare gibi hizmetlerden yararlanan birden fazla yönlendirme veya doğrulama adımının kullanılması.
- Marka taklidi: Meşru görünmek için güvenilir şirketlerin logolarını veya tasarımlarını kullanmak.
Bu işaretleri tanımak ve bunları ANY.RUN’un etkileşimli sanal alanı gibi araçlarla analiz etmek, kimlik avı girişimlerini ortaya çıkarmaya ve risklerini etkili bir şekilde azaltmaya yardımcı olabilir.
ANY.RUN’dan Black Friday Fırsatlarınızı Alın
Siber güvenlik iş akışınızı yükseltmeye hazır olun ANY.RUN’un Kara Cuma 2024 fırsatları! Sınırlı bir süre için, tehditleri verimli bir şekilde analiz etmek için güçlü araçlara erişim kazanırken büyük tasarruf sağlayabilirsiniz.
Özel Kara Cuma Teklifi
Faydalanmak ANY.RUN’un Kara Cuma fırsatlarıtarihine kadar mevcut 8 Aralık:
- Bireysel kullanıcılar için: Elde etmek 1 lisans fiyatına 2 lisans—yalnız araştırmacılar veya analistler için mükemmel.
- Takımlar için: kadar keyfini çıkarın 3 ücretsiz lisans ve bir yıllık Temel Plan Tehdit İstihbaratı Araması için en son tehdit istihbaratı verilerine erişim sağlar.
Tüm teklifleri keşfedin ve hizmeti bugün ücretsiz denemeyle deneyin