Red Canary’ye göre, bu yıl sayısız maliyetli ihlalin temel bileşeni kimliklerin ifşa edilmesi oldu.
Kimlik ve bulut tabanlı saldırılarda artış
2024 raporunda tanımlanan tehditlerin ve tekniklerin çoğu yıl ortası güncellemesiyle tutarlı kalırken, bazı önemli değişimler ortaya çıktı. En iyi on MITRE ATT&CK tekniğine bakıldığında, saldırganların izlerini örtmek için belirli e-postaları engellemek, yönlendirmek veya spam olarak işaretlemek üzere kurallar oluşturmak için tehlikeye atılmış bir hesabı kullandığı E-posta Gizleme Kuralı listeye yeni giren bir teknikti. Özellikle, Bulut Hesapları ve E-posta Yönlendirme Kuralı ile birleştirildiğinde, bu, doğrudan kimlik ve bulut tabanlı saldırılarla ilgili en iyi on teknikten üçü anlamına geliyordu.
Son altı ayda en önemli on tehdit sıralamasında üç önemli değişim yaşandı:
- Atom Hırsızı – macOS aygıtlarındaki kimlik bilgilerini, ödeme kartı verilerini, anahtarlık ayrıntılarını ve kripto para cüzdanı bilgilerini hedef alan bir bilgi hırsızı, ilk on tehdit arasında dokuzuncu sıraya sürpriz bir giriş yaptı.
- Kızıl Saka Kuşu – kullanıcıları kötü amaçlı yazılım dağıtmak için kötüye kullanılabilen meşru bir uzaktan yönetim ve izleme aracını indirmeye kandırmak için sahte tarayıcı güncellemeleri kullanan bir ‘etkinlik kümesi’ – yedinci sıradaki bir diğer yeni katılımcıydı.
- Chrome Yükleyici – tarayıcı trafiğini okuyup ele geçirerek belirli sitelere yönlendiren ve tıklama başına ödeme reklam dolandırıcılığı yapma olasılığı yüksek olan kötü amaçlı bir tarayıcı uzantısı – 2023’te altıncı sıradan bir numaraya yükseldi.
İlk on tehdit arasında, e-postadan web tabanlı teslimat mekanizmalarına doğru devam eden bir eğilim vardı ve bu listedeki altı tanesini oluşturuyordu. Bu, e-postaları kilitleme ve saldırganların belgelere kötü amaçlı yükler eklemesini zorlaştırma çabalarının karşılığını almaya devam ettiğini gösteriyor.
“Önceki listemizle benzerlikler olsa da, ChromeLoader’ın listelerde bu kadar önemli ölçüde yükseldiğini görmek ilginç, ancak bu yükseliş kısmen tehdit için gelişmiş algılama yeteneklerine bağlı. Zararsız görünebilir, ancak tarayıcı verilerini çalma konusundaki geniş yeteneği ve kötü niyetli kişilerin daha kötü amaçlar için yeniden görevlendirme potansiyeli onu özellikle endişe verici hale getiriyor,” diyor Red Canary Baş Güvenlik Uzmanı Brian Donohue.
“Atomic Stealer’ın ilk 10’umuzda olması, örneğimizin macOS cihazları tarafından oluşturulan nispeten düşük yüzdesi göz önüne alındığında da dikkate değerdir. Önemli bir macOS ayak izine sahip kuruluşları, güvenilmeyen kaynaklardan yazılım indirme konusunda kullanıcı eğitimini ikiye katlamaya şiddetle teşvik ediyoruz. Daha geniş bir alanda, kuruluşlar reklam engelleme çözümleri, tarayıcı uzantısı izin/engelleme listeleri ve varsayılan olarak Not Defteri’nde potansiyel olarak tehlikeli ekleri açan GPO’lar gibi önlemlerle web tabanlı teslimata karşı savunma sağlayabilirler,” diye ekledi Donohue.
Güvenlik profesyonelleri için en önemli yeni tehditler
Raporda ayrıca, güvenlik uzmanlarının dikkat etmesi gereken acil veya ilgi çekici tehditler ve teknikler hakkında analizler de sunulmaktadır, örneğin:
Ortadaki Düşman (AitM) saldırıları: Saldırganlar, çok faktörlü kimlik doğrulamayı (MFA) atlatmak için sıklıkla AitM saldırılarını kullanır. Kullanıcıları kimlik bilgilerini ve MFA kodlarını girmeye ikna etmek için görünüşte meşru oturum açma sayfaları oluştururlar ve erişim sağlamak için gerçek zamanlı olarak ayrıntıları iletirler.
Jeton hırsızlığı: Saldırganların bir bulut hizmetini veya hesabını tehlikeye attıktan sonra kimliklere erişmek için oturum belirteçlerini çalma eğilimi artıyor. Bu teknik, saldırganların bulut kiracısında eylemler gerçekleştirmelerine olanak tanıyan güvenlik belirteçlerini çıkardığı AWS ortamlarında özellikle yüksek risklidir.
İzin yayılması: Kuruluşların ayrıca izin yayılmasına karşı dikkatli olmaları ve farklı araçlar ve sistemler genelinde kullanıcı ayrıcalıklarını sıkı bir şekilde kontrol altında tutmaları gerekir. Yönetilecek binlerce kullanıcıyla, aşırı ayrıcalıklı erişim rolleri vermek çok kolaydır.
Uygulama izni kimlik avı : Saldırganlar genellikle kötü amaçlı uygulamaları kaydeder ve ardından kullanıcıları kandırarak kötü niyetli kişilerin bulut üzerinden diğer sistemlere ve verilere erişmesine olanak tanıyan izinler verirler.
Red Canary Güvenlik Sorumlusu Keith McCammon, “Kimlik ihlali her zaman önemli bir tehdit olmuştur, ancak yıl ortası güncellememiz bunun daha da yaygın hale geldiğini vurguluyor” diyerek sözlerini tamamlıyor.
“Bu tehditlere karşı savunmaları güçlendirebilecek çözümler var, özellikle kimlik avına dayanıklı çok faktörlü kimlik doğrulama, parolasız kimlik doğrulama, koşullu erişim ve davranışların ve API’lerin izlenmesi. Ancak, bu kontrollerin bazıları genel olarak ulaşılabilirken, diğerleri pahalı ve operasyonel olarak karmaşık olabilir. Bu nedenle yalnızca teknik çözümler aramak değil, aynı zamanda ekipler kurmak ve etkinliklerini en üst düzeye çıkarabilecek ve 7/24 operasyonel yetenekler sunabilecek ortaklar bulmak da önemlidir,” diye sonlandırdı McCammon.