RSA KONFERANSI 2023 – San Francisco — SANS Enstitüsü’nden uzman eğitmenler, dün burada 2023 için en tehlikeli siber saldırı biçimleri olarak bahsettikleri şeyleri ayrıntılı olarak açıkladılar.
Su yüzüne çıkan ana temalardan bazıları, yapay zekanın saldırı modelleriyle kesişmesi ve saldırganların son derece esnek geliştirme ortamlarından yararlanma biçimleriydi.
SANS Technology Institute College’ın başkanı ve panelin moderatörü Ed Skoudis, “Bu, yılın en sevdiğim paneli,” dedi ve SANS panelistlerini hem kuruluşları için öğretmenler olarak hem de gerçek dünya deneyimine sahip uzman uygulayıcılar olarak tanıttı. saldırı manzarasında aşağı iniyor.
“Bunlar, saldırıların neyle ilgili olduğu ve onlara karşı savunmak için ne yapmamız gerektiği konusunda en son bilgileri almak için başvurduğum insanlar ve diğer pek çok kişi de başvuruyor” dedi.
1. SEO Destekli Saldırılar
Sıradan işletmelerin, ürünlerini pazarlamak ve gelir getiren sitelere trafik çekmek adına belirli terimlerin sıralamasını yükseltmek için arama motoru optimizasyonunu (SEO) kullanması gibi, kötü adamlar da SEO’ya yöneliyor. Red Canary’nin dijital istihbarat kıdemli direktörü ve bir SANS eğitmeni olan Katie Nickels, kendi durumlarında, yollarına daha fazla kurban göndermek için kötü amaçlı yazılım yüklü sitelerinin sıralamalarını yükseltmek için kullandıklarını açıkladı. Güvenlik savunucuları, kimlik avı girişimlerini ve benzerlerini engelleyerek kötü amaçlı sitelere giden tıklamaları engelleme konusunda daha iyi bir iş çıkardıkça, saldırganların onları sulama deliği saldırıları yoluyla cezbetmeye alıştığını söyledi. Ve SEO bu şemaya giriyor.
Nickels, “Öyleyse, bazılarınızın pazarlama alanında olduğunu ve optimizasyonu yargılamaya başladığınızı hayal edin. Ben bunu şirketimin sonuçlarını zirveye taşımak için kullanıyorum,” diye açıkladı Nickels. “Eh, rakipler de aynı şeyi yapıyor, ama kötülük için, değil mi? Sonuçlarının, yani kötü niyetli web sitelerinin, arama motoru sonuçlarının en üstünde olmasını sağlamak için anahtar sözcükleri ve diğer SEO tekniklerini kullanıyorlar.”
Nikeller bir e’den geçtiYasal bir belge şablonunu kolayca indirmek için arama yapan şüphelenmeyen kullanıcıları hedeflemek için “yasal anlaşmalar” aramasının sıralamasını yükseltmek amacıyla SEO kullanılarak yayılan bir GootLoader saldırısı örneği.
2. Kötü Amaçlı Reklamcılık
Pazarlamacıların hem SEO yoluyla organik arama tekniklerini hem de reklamcılıktan yararlanan ücretli arama tekniklerini nasıl kullandıklarına benzer şekilde, siber suçlular da aynısını yapıyor. Nickels, arabadan geçme saldırılarının da benzer şekilde, belirli anahtar kelimeler için sitelerin sıralamasını yapay olarak artıran kötü amaçlı reklam (kötü amaçlı reklamcılık) kampanyaları tarafından beslendiğini söyledi.
“Ve eğlenceli bir gerçek, bunu gerçekten planlamadım ama kötü amaçlı reklamcılık dün yeni bir teknik olarak MITRE ATT&CK’ye eklendi” dedi.
Bu vakada gün ışığına çıkardığı örnek, Blender adlı ücretsiz bir 3D grafik yazılımı için bir benzer kampanyaydı.
“Bunu arayın ve birkaç reklam ve birkaç sonuç alırsınız” dedi. “İlk reklam, bu kötü. İkincisi, buna tıklarsam, bu da kötü amaçlı bir web sitesine girer. Üçüncüsü yasal olmalı, değil mi? Hayır, bu durumda, üçüncü reklam da kötü niyetliydi. Bu zamana kadar değil. meşru yazılım web sitesini aldığınız o anahtar kelimedeki dördüncü sonuç.”
Bu yüksek sıralamaların zorluğuna ek olarak, benzer sitelerin gerçek Blender web sitesiyle neredeyse aynı olduğunu, çünkü kötü adamların bunun gibi belirli siteleri taklit etmede gerçekten başarılı olduklarını açıkladı.
Sırasında ne SEO destekli saldırılar ne de kötü amaçlı reklamcılığın yepyeni teknikler olmadığını, bunları listesinin başına koymasının nedeninin bu yıl bu saldırıların artan yaygınlığı olduğunu belirtti.
3. Hedef Olarak Geliştiriciler
SANS Teknoloji Enstitüsü Koleji araştırma dekanı ve İnternet Fırtına Merkezi başkanı Johannes Ullrich, bu yılki seçiminin yazılım ve uygulama geliştiricileri hedef alan siber saldırılar olduğunu söyledi.
Ullrich, “Geçen yıl fark ettiğim şey, bence bu gerçekten artacak bir şey, saldırıların özellikle geliştiricileri hedef alması,” dedi. “Bağımlılıklar ve kötü amaçlı bileşenler hakkında çok konuşuyoruz. Kuruluşunuzda bu kötü amaçlı bileşenlere maruz kalan ilk kişi, geliştiricidir.”
Geliştiriciler, genellikle BT ve iş sistemlerinde yüksek ayrıcalıklara sahip olduklarından, kullandıkları sistemler yazılım tedarik zincirini zehirleyecek şekilde altüst edilebildiğinden ve ortalama bir kullanıcıdan daha az kilitli makinelerde çalışma eğiliminde olduklarından son derece cazip bir hedeftir. günlük olarak kod denemeleri yapmalarını ve yazılım göndermelerini sağlamak için.
Ullrich, “Bu uç nokta koruma yazılımının çoğu, rastgele kurumsal iş istasyonunuza yöneliktir” dedi. “Geliştirici araçlarının yüklü olduğu sistemleri korumak için kullanılması veya tasarlanması gerekmez.”
4. Yapay Zekanın Saldırgan Kullanımları
ChatGPT gibi büyük dil modellerinin (LLM’ler) patlamasıyla birlikte savunucular, saldırganların – teknik olmayanlar bile – bu yapay zeka araçlarını kullanarak açıklardan yararlanma ve sıfırıncı gün keşfi geliştirmelerini hızlandırmasını beklemelidir. Bu, SANS için saldırı operasyonları müfredat lideri ve uzun süredir bir güvenlik açığı araştırmacısı ve istismar geliştiricisi olan Steven Sims tarafından vurgulanan saldırı tekniğiydi.
Sims, bir sıfır günü ortaya çıkarmak için ChatGPT’yi elde etme kolaylığından geçti. Yakın zamanda ortaya çıkan SigRed DNS kusuruna karşı savunmasız bir kod parçasına işaret ederek kullandığı bazı istemleri gösterdi ve kusuru sıfır gün hatasıymış gibi bulması için bu kodu keşfetmesini sağladı.
Ek olarak, basit bir fidye yazılımı için kod yazmasına yardımcı olması amacıyla ChatGPT’yi almak için kullandığı istemleri de gösterdi. ChatGPT, fidye yazılımı kodu geliştirmeyi reddetmek için sistemde yerleşik bazı korumalara sahip olsa da, parçaları ayrı parçalara ayırarak onu ikna edebildi.
Sims seyirciye “Savunma açısından bakıldığında, temelde yapabileceğiniz hiçbir şey yok. Üzgünüm,” dedi. “Savunma derinliği önemlidir. Uzman hafifletmeler önemlidir. Bunun nasıl çalıştığını anlamak önemlidir. Kendi yapay zekanızı ve makine öğreniminizi yazmak, onun hakkında daha fazla bilgi edinmek için önemlidir. Bunlar gerçekten yapabileceğiniz tek şey çünkü orada ve harika.”
5. Sosyal Mühendislik İçin Yapay Zekayı Silahlandırmak
Cellebrite dijital istihbarat direktörü Heather Mahalik, yapay zekanın teknik saldırgan kullanımlarına ek olarak, saldırganların bu yıl yapay zeka kullanımlarını büyük ölçüde artırarak sosyal mühendislik ve kimliğe bürünme girişimlerini son derece inandırıcı hale getirmelerini bekleyin. SANS.
Oğluyla yaptığı bir sosyal mühendislik deneyi ile amacını açıkladı ve ChatGPT’yi ikna edici metinler yazmaya teşvik etti – emojilerle – bu, 9 yaşındaki bir kızın oğluna adresini söylemesini sağlamaya çalışıyormuş gibi görünmesini sağlayacaktı.
“Kuruluşlarınızdaki insanları hedeflemek için kullanılabilir” dedi. “Oğlumu hedef almayı seçtim çünkü her şeyi gerçekten cana yakın hale getirmeye ve hepimizin saldırılabilir olduğunu göstermeye çalıştım.”