Güvenlik sektörü yıllardır HTML’nin siber suçlular tarafından kötüye kullanıldığının altını çiziyor ve kanıtlar HTML’nin başarılı ve popüler bir saldırı aracı olmaya devam ettiğini gösteriyor. geçen yıl biz bildirildi Mayıs 2022’de Barracuda tarafından taranan tüm HTML eklerinin yaklaşık beşte biri (%21) kötü amaçlıydı. On ay sonra bu rakam iki kattan fazla arttı — Mart 2023’te taranan HTML dosyalarının %45,7’sinin kötü amaçlı olduğu tespit edildi.
HTML’nin Meşru Kullanımı
HTML, Köprü Metni İşaretleme Dili anlamına gelir ve çevrimiçi olarak görüntülenen içeriği oluşturmak ve yapılandırmak için kullanılır. HTML, e-posta iletişiminde de yaygın olarak kullanılır; örneğin, kullanıcıların düzenli olarak alabilecekleri haber bültenleri, pazarlama materyalleri ve daha fazlası gibi otomatikleştirilmiş raporlarda. Çoğu durumda, raporlar bir e-postaya HTML biçiminde eklenir (örneğin, .html, .htm veya .xhtml dosya uzantısıyla).
İletişim bilinen veya güvenilir bir markadan geliyor gibi görünüyorsa, alıcının şüphelenmesi pek olası değildir.
HTML’nin Kötü Amaçlı Kullanımı
Ancak saldırganlar, kullanıcıları kandırmak için iyi hazırlanmış mesajlar ve/veya güvenliği ihlal edilmiş web siteleri ve kötü amaçlı HTML dosya ekleri kullanarak HTML’yi bir saldırı tekniği olarak başarılı bir şekilde kullanabilir.
Bu yaklaşım, saldırganlar tarafından kimlik avı ve kimlik bilgisi hırsızlığı gibi kötü niyetli amaçları ve daha fazlasını gizlemek için kullanılır.
Alıcı HTML dosyasını açarsa, başka bir yerde barındırılan JavaScript kitaplıkları aracılığıyla yapılan birden çok yeniden yönlendirme, alıcıyı bir kimlik avı sitesine veya saldırganlar tarafından kontrol edilen diğer kötü amaçlı içeriğe götürür. Kullanıcılardan daha sonra bilgilere erişmek veya kötü amaçlı yazılım içerebilecek bir dosyayı indirmek için kimlik bilgilerini girmeleri istenir.
Bununla birlikte, Barracuda araştırmacıları tarafından görülen bazı durumlarda, HTML dosyasının kendisi, güçlü betikler ve çalıştırılabilir dosyalar dahil olmak üzere, içine gömülü eksiksiz kötü amaçlı yükü içeren gelişmiş kötü amaçlı yazılım içerir. Bu saldırı tekniği, harici olarak barındırılan JavaScript dosyalarını içeren tekniklerden daha yaygın olarak kullanılmaya başlandı.
Kötü amaçlı HTML tabanlı saldırılara karşı koruma, HTML ekleri taşıyan tüm e-postayı dikkate almalı, tüm yönlendirmelere bakmalı ve e-postanın içeriğini kötü niyetli amaç için analiz etmelidir. Aşağıda bununla ilgili daha fazla bilgi var.
Kötü Amaçlı HTML Eklerinin Son Örnekleri Genellikle Geçmişte Görülenlere Benzer.
Örneğin, bir Microsoft oturumu gibi görünen aşağıdaki kimlik avı eki, birkaç yıldır popüler olmuştur, ancak saldırılarda sürekli ve yaygın olarak kullanılması, saldırganların kurbanları tuzağa düşürmede başarılı olduğunu göstermektedir.
Benzersiz Saldırıların Oranı
Kötü amaçlı HTML algılamalarının toplam sayısını kaç farklı (benzersiz) dosyanın algılandığıyla karşılaştırırsanız, algılanan artan kötü amaçlı dosya hacminin yalnızca sınırlı sayıda toplu saldırının değil, birçok her biri özel hazırlanmış dosyalar kullanan farklı saldırılar.
Örneğin, Ocak-Mart 2023 arasındaki üç aylık günlük tespit verileri, 7 Mart ve 23 Mart tarihlerinde iki önemli saldırı zirvesini ortaya koyuyor.
7 Mart’ta, 181.176 farklı öğeden oluşan toplam 672.145 kötü amaçlı HTML yapısı tespit edildi. Bu, tespit edilen dosyaların yaklaşık dörtte birinin (%27) benzersiz olduğu ve geri kalanının bu dosyaların tekrarlanan veya toplu dağıtımları olduğu anlamına gelir.
Bununla birlikte, 23 Mart’ta, toplam 475.938 kötü niyetli HTML yapıtının neredeyse onda dokuzu (405.438 — %85) benzersizdi; bu, neredeyse her bir saldırının farklı olduğu anlamına gelir.
Kötü Amaçla Kullanılan Dosya Türleri Listesinde HTML Ekleri Hakim Olmaya Devam Ediyor
Barracuda analizi ayrıca, son raporumuzdan yaklaşık bir yıl sonra yalnızca kötü amaçlı HTML eklerinin toplam hacminin artmadığını, HTML eklerinin kötü amaçlı amaçlarla kullanılması en muhtemel dosya türü olmaya devam ettiğini de gösteriyor.
Saldırı taktikleri ve araçları söz konusu olduğunda, bir şeyin bir süredir ortalıkta olması onu daha az güçlü kılmıyor gibi görünüyor. Kötü amaçlı HTML, çalıştığı için hala saldırganlar tarafından kullanılıyor. Doğru güvenliğin sağlanması, şimdi hiç olmadığı kadar, hatta daha da önemli.
Kötü Amaçlı HTML Eklerine Karşı Nasıl Korunulur?
- E-posta koruması – Etkili bir e-posta korumasına sahip olmak ve güvenlik taramanızın kötü amaçlı HTML eklerini tanımlayıp engelleyebildiğinden emin olmak önemlidir.. Yukarıdaki nedenlerden dolayı bunları belirlemek her zaman kolay olmadığından, en iyi çözümler makine öğrenimi ve yalnızca bir ekin değil, bir e-postanın içeriğini değerlendiren statik kod analizini içerecektir.
- Kullanıcı eğitimi ve farkındalığı – İnsanları potansiyel olarak kötü amaçlı HTML eklerini tespit etmeleri ve bildirmeleri için eğitin. Bu tür saldırıların hacmi ve çeşitliliği göz önüne alındığında, tüm HTML eklerine, özellikle de daha önce görmedikleri kaynaklardan gelenlere karşı dikkatli olmak muhtemelen iyidir. İnsanlara oturum açma kimlik bilgilerini asla kimseyle paylaşmamalarını hatırlatın.
- Güçlü kimlik doğrulama ve erişim kontrolleri – Çok faktörlü kimlik doğrulama (MFA) iyi bir erişim kontrolü olmaya devam ediyor, ancak saldırganlar giderek daha fazla gelişmiş sosyal mühendislik tekniklerine yöneliyor. MFA yorgunluğu birçok MFA koruması türünü atlamak için. Dönmeyi düşünün Sıfır Güven Erişimi güvenliği artırmaya yönelik önlemler. gibi etkili bir Sıfır Güven çözümü Barracuda CloudGen Erişimi birden fazla parametreyi (kullanıcı, cihaz, konum, zaman, erişilen kaynaklar ve daha fazlası) dinamik olarak izler ve bu da saldırganların çalınan kimlik bilgilerini kullanarak ağınızdan ödün vermesini çok daha zorlaştırır.
- Kötü amaçlı bir HTML dosyası geçerse – Tüm kullanıcı gelen kutularından kötü amaçlı e-postaları hızlı bir şekilde belirlemek ve kaldırmak için teslim sonrası düzeltme araçlarına sahip olduğunuzdan emin olun. Bir otomatik olay yanıtı, saldırı bir kuruluşa yayılmadan önce bunun yapılmasına yardımcı olabilir. Ek olarak, hesap devralma koruması, oturum açma kimlik bilgilerinin tehlikeye girmesi durumunda herhangi bir şüpheli hesap etkinliğini izleyebilir ve sizi uyarabilir.
Barracuda, 13 e-posta tehdidi türü belirledi ve yayınladı bir rehber kurbanları nasıl hedef alıp tehlikeye attıklarını ve onlara karşı nasıl savunma yapacaklarını açıklamak.