QR Kodları ClickFix ve LOLBins İçeren Ortaya Çıkan Siber Tehditler SOC Savunmalarını Zorluyor

ANY.RUN’daki siber güvenlik uzmanları kısa süre önce açıkladı endişe verici eğilimler Saldırganların güvenlik operasyon merkezlerini (SOC’ler) atlatmak için günlük teknolojilerden nasıl yararlandıkları.

QR kodu kimlik avı, ClickFix sosyal mühendisliği ve Karada Yaşayan İkili Dosyalar (LOLBins) gibi taktikleri inceleyerek bu yöntemlerin geleneksel savunmalardan nasıl kaçtığını gösterdiler.

Gibi tehditler artıyor Daha karmaşık olan SOC ekipleri, düşük tespit oranlarının ciddi ihlal riskini doğurması nedeniyle uyum sağlama konusunda artan bir baskıyla karşı karşıyadır. Gerçek dünyadaki örneklerin analizlerinden yola çıkan oturumda, hayati önem taşıyan karşı önlemler olarak etkileşimli araçlar ve gerçek zamanlı zeka vurgulandı.

ClickFix Saldırıları: İnsan Aldatmacasında Ustalaşmak

ClickFix saldırıları, kullanıcı etkileşimine güvenmeleri ve rutin doğrulamaları kötü amaçlı yazılım ağ geçitlerine dönüştürmeleriyle öne çıkıyor. Saldırganlar, rezervasyon platformları gibi güvenilir siteleri taklit eden ve sahte CAPTCHA’larla tamamlanan kimlik avı e-postaları gönderir.

Bir kurban tıkladığında, kötü amaçlı bir PowerShell betiği fark edilmeden panoyu ele geçirerek kullanıcıdan bunu bir sistem iletişim kutusu aracılığıyla yapıştırmasını ve yürütmesini ister.

Bu çok aşamalı hile aldatmacaya dayanıyor: çifte sahtekarlık ikna edici kopyalar yaratırken manuel adımlar otomatik tarayıcıları engelliyor.

Sandbox analizleri ortaya çıkıyor yürütmenin Lumma veya AsyncRAT gibi hırsızları ve fidye yazılımlarını nasıl dağıttığını ve başlangıç ​​dosyaları aracılığıyla kalıcılık sağladığını.

Geleneksel araçlar CAPTCHA’larda bocalar, ancak etkileşimli sanal alanlar insan eylemlerini simüle ederek ilk tıklamadan yük dağıtımına kadar tüm zinciri saniyeler içinde ortaya çıkarır.

Bu tür yetenekler olmadan SOC’ler, kullanıcı iş akışlarına sorunsuz bir şekilde uyum sağlayan tehditleri gözden kaçırır ve bu da kimlik bilgileri hırsızlığına ve sistem güvenliğinin ihlal edilmesine yol açar.

PhishKit Saldırıları: Gizli Vektörler Olarak QR Kodları

Kimlik avı kitleri veya kimlik avı kitleri, karanlık webin temel malzemelerine dönüşerek acemilerin Microsoft ve Google gibi devlere karşı profesyonel düzeyde kampanyalar başlatmasına olanak sağladı.

En son değişiklik, QR kodlarını DocuSign belgeleri olarak gizlenen PDF eklerine entegre ederek taramaları, kimlik avı ipuçlarının küçük ekranlarda saklandığı mobil cihazlara yönlendiriyor.

Bu kitler, AI tarafından oluşturulan yemleri, çok aşamalı kontrolleri ve Cloudflare Turnstile gibi CAPTCHA’ları içerir ve kimlik bilgileri toplamak için sahte giriş sayfalarıyla sonuçlanır.

ANY.RUN’lar otomatik patlama QR bağlantılarını çıkarır, zorlukları çözer ve öldürme zincirinin izini sürerek Storm-1747 gibi gruplarla bağları ortaya çıkarır.

Birçok savunma, QR içeriğini gözden kaçırarak kaçmaya izin verir, ancak gelişmiş sanal alanlar bunu özerk bir şekilde hallederek Katman 1 iş yüklerini %20 oranında azaltır. Kimlik avı kitleri çoğaldıkça ve yerelleştirilmiş tuzaklarla bölgeleri hedef alırken, SOC’lerin yaygın kampanyaları engellemek için QR taramasına öncelik vermesi gerekiyor.

LOLBins: Güvenilir Araçları Silahlandırma

LOLBins, kötü niyetli işlemleri rutin işlemler olarak maskelemek için Windows’un kendi yardımcı programlarından, PowerShell, mshta.exe ve cmd.exe’den yararlanır. Kimlik avı amaçlı bir .lnk dosyası, uzak sunuculardan yükleri almak için PowerShell aracılığıyla mshta’yı çağırabilir ve DeerStealer gibi gerçek hırsızı gizlemek için sahte PDF’ler indirebilir.

Bu “toprakla geçinme” yaklaşımı, yönetici görevlerini taklit ederek beyaz listelerden ve antivirüs yazılımlarından kaçıyor ve hafif adli izler bırakıyor.

Davranışsal korumalı alanlarda analiz Kötüye kullanımı meşruluktan ayırarak C2 sunucularına ve kalıcılık mekanizmalarına olan bağlantıları ortaya çıkarır.

Küresel araştırmaların bağlamı olmadan uyarılar hatalı pozitif sonuçları tetikler. Binlerce oturumdan yeni IOC’leri çeken tehdit istihbaratı beslemeleri, gerçek zamanlı engellemeyi mümkün kılarak yanıt sürelerini kısaltır.

ClickFix tarafından kullanılan etkileşim, QR gizleme ve LOLBin gizliliği dahil taktikler, yalnızca otomasyona güvenmenin sınırlamalarını vurguluyor.

ANY.RUN’un etkileşimli analizi paylaşılan zekayla birleştiren çözümleri, tespit oranlarını bir dakikadan kısa sürede %88 oranında artırır ve ortalama çözümleme süresini (MTTR) 21 dakikaya kadar azaltır.

Bu çözümleri uygulayan Güvenlik Operasyon Merkezleri (SOC’ler), artışlarda %30’luk bir azalma ve verimlilikte üç kat artış rapor ederek, giderek daha amansız bir düşman ortamına karşı savunmalarını güçlendiriyor.

Etkileşimli Sandbox Tehdit İstihbaratı Araması ve Akışları ile SOC Performansınızı Artırın => Şimdi Dene