Siber güvenlik uzmanları HERHANGİ BİR ÇALIŞMA virüsten koruma yazılımını, korumalı alan ortamlarını ve hatta e-posta spam filtrelerini atlatmak için bozuk dosyalardan yararlanan aktif bir sıfır gün saldırı kampanyasını ortaya çıkardı.
Saldırı ilk kez tespit edildi ANY.RUN ekibikötü amaçlı e-postaların gelen kutularına fark edilmeden sızmasını sağlayarak önemli bir tehdit oluşturur.
Saldırıya Genel Bakış
Saldırganlar, dosyaları kasıtlı olarak bozarak benzersiz bir teknikten yararlanıyor ve güvenlik çözümlerinin analiz etmesini zorlaştırıyor. Genellikle ZIP arşivleri veya Microsoft Office belgeleri (örneğin, DOCX) olarak tanımlanan bu dosyalar, standart dosya işleme prosedürlerine uymayarak tespit edilmekten kaçınır.
ANY.RUN ekibi Cyber Security News’e yaptığı açıklamada, “Bu dosyalar hasarlı veya bozuk görünse de tamamen çalışır durumdalar ve ilgili programlarda açıldığında kötü amaçlı kod çalıştırıyorlar” dedi.
Bu örnekteSandbox’ımız etkileşim sayesinde bu sorunu çözüyor. ANY.RUN, bu bozuk dosyaları ilgili programlarda başlatarak kötü amaçlı davranışları tanımlamasına olanak tanıyor” dedi.
Microsoft Word, Outlook ve WinRAR gibi uygulamalar, saldırganların uyarıları tetiklemeden yükü yürütmek için yararlandığı yerleşik kurtarma mekanizmalarına sahiptir.
Geleneksel antivirüs programları ve dosya tarayıcıları, bozuk veya eksik verileri işleme biçimindeki bir hata nedeniyle bu kötü amaçlı dosyaları tespit edemiyor:
- Antivirüs yazılımı: VirusTotal gibi platformlarda dosyalar bozuk olduğundan tam olarak analiz edilemediğinden dosyaları “temiz” veya “Öğe Bulunamadı” olarak işaretler.
- Korumalı alan ortamları: Yalnızca otomatik statik analiz yöntemlerine dayanıyorlarsa tehdidi tanımlamada başarısız olurlar.
- Spam filtreleri: Bozuk dosyalar zararsız veya eksik göründüğü için kötü amaçlı yükü kaçırır.
Bozuk dosyaları analiz ederken bazı güvenlik araçları, bunların arşiv olduğunu varsayarak içerikleri çıkarmaya çalışır. Hiçbir dosya çıkartılamazsa tarama işlemi durdurulur ve arşiv incelenmeden bırakılır.
Saldırı Nasıl Çalışır?
Saldırı, dosyanın sınırlamalarından ziyade kullanıcı uygulamalarının kurtarma mekanizmalarından yararlanıyor.
Örneğin:
- Bozuk ZIP veya DOCX dosyaları e-posta yoluyla teslim edilir.
- Güvenlik çözümleri dosyayı düzgün bir şekilde işleyemiyor ve onları geleneksel algılama mekanizmalarına göre “görünmez” hale getiriyor.
- Amaçlanan uygulama tarafından açıldığında yerleşik kurtarma özellikleri (örneğin, Microsoft Word’ün bozuk belgeleri onarma yeteneği) etkinleşerek kötü amaçlı davranışların yürütülmesini kolaylaştırır.
Bu nitelikteki dosyalar, etkileşimli ortamlarda sorunsuz bir şekilde yürütülürken statik tarama araçlarını atlayarak yalnızca amaçlanan programlarda etkinleşecek şekilde tasarlanmıştır.
ANY.RUN’un Yenilikçi Tespit Yaklaşımı
Neyse ki, ANY.RUN etkileşimli sanal alan bu benzersiz tehdidin üstesinden gelmede etkili olduğunu kanıtladı. Geleneksel statik analiz araçlarının aksine platform, dosyalarla doğrudan etkileşime girerek, gerçek zamanlı davranışları gözlemlemek için bunları ilgili programlarda açıyor.
Bu yaklaşım, kurtarma mekanizmaları tarafından tetiklenen kötü amaçlı etkinliklerin tespit edilmesini sağlayarak saldırıya ilişkin kritik bilgiler sağlar.
Örneğin, bir sanal alan oturumu, antivirüs tarayıcılarını tamamen atlatan bozuk bir dosyadaki kötü amaçlı davranışı vurguladı. Ayrıntılı analize buradan bakın.
ANY.RUN’un araştırması, bu saldırının birkaç aydır aktif olduğunu ve ilk gözlemlenen örneklerin Ağustos 2024’e kadar uzandığını gösteriyor.
Kampanya, hem kuruluşları hem de bireyleri hedef alarak karmaşıklık ve ölçek açısından büyüyor gibi görünüyor. Burada görebilirsiniz Korumalı alan analizlerine örnekler bu tür dosyalar için. İlgili korumalı alan oturumlarını TI Arama’daki SHA256 karmasını kullanarak da bulabilirsiniz: Örnek 1, Örnek 2.
Siber güvenlik ekiplerinin, bu tür tehditleri tespit etmek için etkileşimli ve davranışsal analizleri birleştiren gelişmiş tespit araçlarını benimsemeleri teşvik edilmektedir.
Korumalı alanlardaki şüpheli dosya etkinliğini incelemek ve ek e-posta filtreleme katmanları uygulamak, riski azaltmaya yardımcı olabilir.Kampanyayla ilgili belirli SHA256 karmaları hakkında daha fazla bilgi için ANY.RUN’u ziyaret edin. Tehdit İstihbaratı Arama aracı.
Siber güvenlik ortamı gelişmeye devam ederken, giderek daha karmaşık hale gelen saldırı teknikleriyle mücadelede dikkatli olmak ve yenilikçilik hayati önem taşıyor.
Get ANY.RUN’s Black Friday offers: Up to 3 licenses as a gift