Netskope’a göre saldırganlar, kötü amaçlı yazılım dağıtmak için HTTP ve HTTPS kullanarak tespit edilmekten kaçınmanın ve normal ağ trafiğine uyum sağlamanın yeni yollarını buluyor.
Ortalama olarak, her 1.000 kurumsal kullanıcıdan beşi 2023’ün ilk çeyreğinde kötü amaçlı yazılım indirmeye çalıştı ve yeni kötü amaçlı yazılım aileleri ve varyantları, bu kötü amaçlı yazılım indirmelerinin %72’sini oluşturuyordu.
Sosyal mühendislik ve arama motoru veri boşlukları artıyor
Netskope, ilk çeyrekteki tüm kötü amaçlı yazılım indirmelerinin yaklaşık %10’unun arama motorlarından yönlendirildiğini ortaya çıkardı. Bu indirmeler çoğunlukla silahlı veri boşluklarından veya çok az sonucu olan arama terimlerinin kombinasyonlarından kaynaklanıyordu; bu, bu terimlerle eşleşen herhangi bir içeriğin muhtemelen arama sonuçlarında çok üst sıralarda görüneceği anlamına gelir. Bu, saldırganların hızlandırdığı birçok sosyal mühendislik tekniğinden yalnızca birini temsil ediyor.
Saldırganların kurbanlarını kandırmak için yalnızca arama motorlarını değil, e-postayı, işbirliği uygulamalarını ve sohbet uygulamalarını da kötüye kullandığı bir bütün olarak sosyal mühendislik, önde gelen bir kötü amaçlı yazılım sızma tekniği olarak hakim olmaya devam ediyor. İlk iki kötü amaçlı yazılım türü olan Truva atları, ilk çeyrekte kötü amaçlı yazılım indirmelerinin %60’ını ve kimlik avı indirmelerinin %13’ünü oluşturdu.
Saldırganlar için birincil iletişim kanallarının değerlendirilmesi
Netskope araştırmacıları, saldırganların sürekli olarak tespit edilmekten kaçınmak için birincil iletişim kanalları olarak 80 ve 443 numaralı bağlantı noktaları üzerinden HTTP ve HTTPS kullandıklarını keşfetti. Aslında, Netskope tarafından analiz edilen ve harici ana bilgisayarlarla iletişim kuran yeni kötü amaçlı yürütülebilir dosyaların %85’i bunu 80 numaralı bağlantı noktası (HTTP) üzerinden ve %67’si bunu 443 numaralı bağlantı noktası (HTTPS) üzerinden yaptı. Bu yaklaşım, saldırganların kolayca fark edilmeden gitmesine ve zaten ağda bulunan çok sayıda HTTP ve HTTPS trafiğine karışmasına olanak tanır.
Ek olarak, bazı kötü amaçlı yazılım örnekleri, DNS tabanlı güvenlik denetimlerinden kaçınmak için DNS aramalarından kaçınır, bunun yerine IP adreslerini kullanarak doğrudan uzak ana bilgisayarlara ulaşır. 2023’ün ilk çeyreğinde, harici iletişimi başlatan çoğu kötü amaçlı yazılım örneği, bunu bir IP adresleri ve ana bilgisayar adları kombinasyonu kullanarak yaptı; %61’i doğrudan en az bir IP adresiyle iletişim kurarken %91’i, bir DNS araması yoluyla en az bir ana bilgisayarla iletişim kurar.
Tehdit Araştırması Direktörü Ray Canzanese, “Saldırganların bir numaralı işi, kuruluşlar tehdit tespitine daha fazla kaynak ayırırken izlerini gizlemenin yeni yollarını bulmaktır, ancak bu bulgular saldırganların bunu göz önünde gerçekleştirmesinin hala ne kadar kolay olduğunu gösteriyor” dedi. , Netskope Tehdit Laboratuvarları.
Canzanese, “Saldırganlar, kuruluşlarda yaygın olarak kullanılan ve iletişim kurmak için popüler kanallardan yararlanan bulut hizmetlerine yöneldikçe, işlevler arası risk azaltma her zamankinden daha gerekli,” diye devam etti.
Bulut ve web kötü amaçlı yazılım eğilimleri
- HTTP/HTTPS kötü amaçlı yazılım indirmelerinin %55’i, bir önceki yılın aynı döneminde %35’e kıyasla bulut uygulamalarından geldi. Artışın birincil nedeni, en popüler kurumsal bulut uygulamalarından kötü amaçlı yazılım indirmelerindeki artıştır ve Microsoft OneDrive geniş bir farkla en popüler kurumsal uygulama olarak takip edilmektedir.
- Kötü amaçlı yazılım indirilebilen uygulamaların sayısı da artmaya devam ederek 2023’ün ilk çeyreğinde 261 farklı uygulamaya ulaştı.
- Toplam web kötü amaçlı yazılım indirmelerinin yalnızca küçük bir kısmı, geleneksel olarak riskli kabul edilen web kategorileri üzerinden teslim edildi. Bunun yerine indirmeler, %7,7 ile en büyük dilimden içerik sunucularının (CDN’ler) sorumlu olduğu çok çeşitli sitelere dağılmıştır.
Kuruluşlar kötü amaçlı yazılım saldırısına karşı savunma yapmak için çalışırken, ağ, güvenlik operasyonları, olay müdahalesi, liderlik ve hatta bireysel katkıda bulunanlar dahil olmak üzere birden fazla ekip arasında işlevler arası işbirliği gerekir.
Kuruluşların riskleri azaltmak için atabileceği ek adımlardan bazıları şunlardır:
- Kötü amaçlı yazılımın ağınıza sızmasını önlemek için tüm web ve bulut trafiği dahil olmak üzere tüm HTTP ve HTTPS indirmelerini inceleyin
- Güvenlik kontrollerinin popüler arşiv dosyalarının içeriğini yinelemeli olarak denetlemesini ve yüksek riskli dosya türlerinin kapsamlı bir şekilde denetlenmesini sağlayın
- Risk yüzeyini azaltmak için kuruluşunuzda kullanılmayan uygulamalardan indirme yapılmasını engelleyecek politikaları yapılandırın.