Kötü amaçlı yükler, günümüzde kuruluşların karşı karşıya olduğu başlıca zorluklardan biridir.
Devlet kurumlarından büyük şirketlere ve benzer girişimlere kadar, her tür ve büyüklükteki işletme, küçük bir hatanın saldırganlara çok büyük dijital zararlar verme fırsatı sağlayabileceği gerçeğiyle karşı karşıyadır.
Silah haline getirilmiş dosyaların tehdidiyle karşı karşıya kalan güvenlik profesyonellerinin giderek daha dikkatli olması gerekiyor. İster kötü amaçlı yazılım, fidye yazılımı, uzaktan erişim yazılımı, truva atları veya diğer araçlar olsun, saldırganlar kötü niyetli hedeflerine ulaşmanın yeni yollarını bulmak için yorulmadan çalışıyorlar.
Android cihazları tehlikeye atmak için kullanılan pngs ve jpeg gibi görüntü dosyalarından, kötü amaçlı yazılım dağıtmak için kullanılan PDF tuzaklarına ve çeşitli uç nokta cihazlarına kadar, tehdit ortamı giderek daha karmaşık ve değişken hale geliyor. Günümüzde firmaların neyin tehdit olup neyin olmadığını belirlemesi her zamankinden daha zor.
Burada, şablon enjeksiyon saldırılarını gerçekleştirmek için kullanılan silahlı tuzak belgelerinin kullanımındaki son artışı derinlemesine inceleyeceğiz – Menlo Labs ekibinin son zamanlarda takip etmek ve analiz etmek için önemli ölçüde zaman harcadığı aktivite.
HEAT tekniklerindeki yükselişe bir örnek
Şablon yerleştirme teknikleri, Microsoft’un 2007’de Office Açık XML Dosya Biçimi belirtimine dayalı olarak Word, Excel ve PowerPoint için yeni dosya biçimleri sunmasından sonra ortaya çıkmaya başladı; bu güncelleştirme, kaynakların doğrudan bir belgeye gömülmesini mümkün kıldı.
Bu değişikliklerle birlikte, belge paketindeki XML bölümlerinde (örneğin, /_rels/.rels) depolanan, bir kaynak parça ile bir hedef kaynak arasındaki bağlantıyı belirtmek için kullanılan bir yöntem olan ‘ilişkiler’ kullanıma sunuldu.
Ne yazık ki tehdit aktörleri, kötü amaçlı şablonu barındıran bir URL’yi bir XML dosyasına yerleştirmenin ve ardından kötü amaçlı eylemler gerçekleştirmek için meşru yazılım kullanan bir tür saldırı olan araziden uzakta yaşayan (LotL) saldırıları gerçekleştirmenin yollarını buldu.
Saldırganlar, yerel veya uzak bir makinede barındırılan bir şablonu işlemek için belirli bir belgeye kötü amaçlı bir URL ekleyebilir. Silah haline getirilmiş belge açıldığında, kötü amaçlı bir şablonu indirmeye ve yürütmeye çalışacaktır.
Şablon yerleştirme saldırılarını kuruluşlar için özellikle tehlikeli kılan şey, saldırının belgelerdeki makrolar gibi şüpheli göstergeleri içermesi gerekmemesidir; bu özellikler, kötü amaçlı şablon getirilene kadar genellikle güvenlik algılama motorları tarafından yakalanır.
Bu tür güvenlik araçlarına göre, silah haline getirilmiş belgeler tamamen zararsız görünebilir. Çoğu zaman, kötü amaçlı URL’lerin veya açıklardan yararlanma işaretçilerinin izini göstermezler.
Gerçekten de, kötü amaçlı yazılım dağıtmak için web filtreleriyle iyi bir üne sahip web sitelerini kullanan popüler bir Yüksek Derecede Kaçınma Uyarlanabilir Tehdit (HEAT) tekniği olan Eski URL İtibar Kaçırma’nın (LURE) en iyi örneğidirler.
Çeşitli şablon enjeksiyon saldırılarını gözlemleme
Şablon enjeksiyon saldırılarını gözlemlemek için zaman ayıran Menlo Labs ekipleri, farklı tehdit aktörleri tarafından takip edilen birkaç farklı örnek belirledi.
İlk örnek, hedeflenen kurbanlarını kötü amaçlı bir şablon indirmeye zorlamak için maskelenmiş Microsoft URL’leri kullanan tehdit aktörlerinden geliyor. Belgeler özellikle, kurbanın uç noktasına kötü amaçlı yazılım indirmek için kullanılan özel bir URL’den bir dotm şablonu indirmek için kullanıldı. Bu özel örnekte, yük, görüntü steganografisi kullanılarak James Webb Telescope tarafından çekilen bir görüntüde bile gizlenmişti.
Ayrıca kötü şöhretli gelişmiş kalıcı tehdit (APT) grubu Patchwork’ün, Pakistan Savunma Bakanlığı’ndan olduğu iddia edilen silahlı bir belgeyi kullanarak kendi şablon enjeksiyon saldırılarını uyguladığını gördük. Belgeyi indiren herhangi bir kurban, “Scan03.pdf” başlıklı, parola korumalı bir PDF dosyasının indirildiğini görecektir.
Kurbanlardan orijinal dosyayı “http://office-fonts” URL’sinden indirmeleri istendi.[.]herokuapp[.]com/en-us”, bu özellikle ilgi çekicidir. Gerçekten de, iyi huylu veya saygın etki alanlarının kullanılması, LURE’nin eylem halindeki bir örneğidir.
Üçüncü olarak, uzmanlarımız Microsoft Support Diagnostic Tool’da (MSDT) “Follina” Sıfır Güvenlik Açığı’nın (CVE-2022-30190) manipüle edildiğini gözlemledi. Burada, tehdit aktörleri açıktan yararlanmayı halka açık harici bir URL’de barındırabildiler ve bu da “!” şablonu tetiklemek için kullanıldı.
Modern güvenlik çözümlerini benimsemek çok önemlidir
Tehdit aktörlerinin eylem şablonu enjeksiyon saldırılarında izleyebilecekleri çeşitli yöntemler hakkında bilgi vermiş olsak da, bunlar çok daha geniş bir potansiyel tehditler okyanusundaki bir avuç örnektir.
Gerçekten de, yalnızca Eylül 2022’de PwC ve Proofpoint, kötü amaçlı bir makro elde etmek ve yürütmek için uzak şablon enjeksiyonunu kullanan TA453 grubu tarafından gerçekleştirilen saldırıların ayrıntılarını yayınlarken, Cisco ayrıca Gamaredon APT’nin kimlik avı ile Ukrayna devlet kurumlarını nasıl hedef aldığını açıklayan bir açıklama yaptı. kötü amaçlı makrolar içeren uzak şablonlar göndermek için e-postalar.
Ne yazık ki, bu saldırıların yakın zamanda azalması pek olası değil. Aslında, şablon enjeksiyon saldırılarının muhtemelen daha da büyüyeceğini ve hatta açıkları anında yüklemek için kullanılabileceğini güvenle söyleyebilirim.
Bu nedenle kuruluşların kendilerini korumak için gerekli adımları atması zorunludur, izolasyon bütünsel koruma için sağlam bir başlangıç noktasıdır.
İzolasyon özellikle, kötü amaçlı olsun ya da olmasın tüm belgelerin, kullanıcının uç nokta cihazından ayrı bir bulut kapsayıcısında açılmasını sağlayacaktır. Bunu yapmak, herhangi bir aktif veya kötü amaçlı içerik çıkarılıncaya kadar tüm dosyaların güvenli ve görüntülenebilir bir sürüme dönüştürülmesini sağlar.
Bu tür önlemler şüphesiz modern çağda gereklidir. Tehdit aktörleri, eski teknolojiler etrafında yeni ve etkili yollar bulmaya devam ediyor. Yeni tekniklerin tehditlerini azaltmak için kuruluşların modern güvenlik çözümlerini benimsemesi gerekir.
yazar hakkında
Brett, güvenlik konusunda tutkulu ve en kritik varlıklarını korumak isteyen kuruluşlara çözümler sunuyor. Web ve e-posta genelinde gelen tehditlerin algılanması ve veri kaybının önlenmesi konusunda uzmanlaşmış çeşitli 1. katman tedarikçiler için 15 yılı aşkın bir süredir çalışan Brett, 2016 yılında Menlo Security’ye katıldı ve izolasyonun, algılamanın neden olduğu sorunları fiilen çözmek için nasıl yeni bir yaklaşım sağladığını keşfetti. tabanlı sistemlerle mücadeleye devam etmektedir.