Araştırmacılar, gerçek dünyadaki PDF’lerden oluşan büyük bir veri kümesini analiz ederek tıklama tuzağı PDF saldırılarının arkasındaki altyapıyı incelediler ve tıklama tuzağı olanları ve bunlarla bağlantılı altyapıyı tespit ettiler ve saldırganların nesne depolama, web sitesi barındırma ve CDN’ler dahil olmak üzere çeşitli barındırma türlerini kullandıklarını buldular.
Saldırganlar, kötü amaçlı PDF’leri yüklemek için güncel olmayan yazılım bileşenlerindeki güvenlik açıklarından yararlanırken, araştırmacılar ayrıca azaltma stratejilerini araştırdı ve barındırma sağlayıcılarını kötü amaçlı PDF’ler hakkında bilgilendirdi.
Bu kaldırma çabası başlangıçta olumlu sonuçlar verse de, çoğu sağlayıcı altta yatan güvenlik açıklarını ele almadı ve bu da saldırganların kısa süre sonra yeni tıklama tuzağı PDF’leri yüklemesine olanak tanıdı.
Tıklama tuzağı PDF’ler, arama sonuçlarında üst sıralarda yer almak ve kullanıcıları kimlik avı saldırılarına yönlendirmek için SEO tekniklerini kullanan kötü amaçlı PDF’lerdir.
Yazarlar, bu tıklama tuzağı PDF’lerini destekleyen altyapıyı dört araştırma sorusunu belirleyerek araştırıyor: (1) hangi tür barındırma hizmetleri kullanılıyor; (2) saldırganlar PDF’leri nasıl yüklüyor; (3) PDF’ler ne kadar süre çevrimiçi kalıyor ve kaç tane var; ve (4) kötüye kullanımı barındırma sağlayıcılarına bildirmenin ne kadar etkili olduğu.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access
Bu soruları yanıtlamak için, çalışmalarını önceki bir çalışmayla karşılaştırarak ve daha büyük bir veri seti, aktif tıklama tuzağı PDF’lerini izlemek için yeni bir yol ve veri analizi için bir makine öğrenimi modeli gibi katkılarını vurgulayarak, biri ilk analiz için, diğeri gerçek zamanlı izleme için olmak üzere iki adet tıklama tuzağı PDF veri seti oluşturuyorlar.
Bu hedefe ulaşmak için birlikte çalışan birden fazla modülden oluşan, tıklama tuzağı PDF’lerini toplamak ve analiz etmek için Grape adlı bir sistem kullanıldı. Başlangıçta, PDF Analiz Modülü PDF’lerden URL’leri ve meta verileri çıkardı.
Daha sonra PDF Durum Kontrol modülü URL’lerin hala çevrimiçi olup olmadığını doğrular ve analiz modülü çıkarılan URL’lere ait DNS kayıtlarını ve WHOIS bilgilerini alır.
Sunuculardaki savunmasız veya yanlış yapılandırılmış yazılım bileşenlerini belirler. Son olarak, Kümeleme Modülü, tıklama tuzağı PDF’lerini ilk sayfalarının görsel benzerliğine göre gruplandırır.
Araştırmacılar, tıklama tuzağı PDF barındırma altyapısını URL’lerin ağ özelliklerine bakarak analiz ettiler ve PDF’lerin çoğunun web sitesi barındırma, CDN ve nesne depolama hizmetlerinde bulunduğunu buldular.
farklı alan adı
Her tür için uzlaşma göstergelerini (IoC’ler) araştırdılar. Nesne depolama için Erişim Kontrol Listelerini (ACL’ler) analiz ettiler ve birçok kovanın zayıf izinlere sahip olduğunu buldular.
Web sitesi barındırma ve belirsiz barındırma için, kısıtlanmamış dosya yükleme güvenlik açıklarına sahip birçok güncel olmayan bileşen ve eklentiyi belirleyerek güncel olmayan yazılımları, güvenlik açığı bulunan bileşenleri ve dosya yüklemeyi kolaylaştıran yazılımları aradılar.
Paper’a göre VirusTotal ve Google SafeBrowsing gibi engelleme listeleri, düşük tespit oranları ve seyrek engellemelerle tıklama tuzağı PDF’lere karşı sınırlı koruma sağlıyor.
Bu durum başlangıçta çevrimiçi PDF’lerde önemli bir azalmaya yol açsa da, saldırganların sürekli etkinliği ve ana bilgisayarlar tarafından eksik düzeltme yapılması nedeniyle uzun vadeli etkisi sınırlıdır.
Etkilenen birçok taraf sorunu kabul etti ancak yalnızca kısmen ele aldı. Bu durum, gelişmiş güvenlik uygulamalarına ve potansiyel olarak daha proaktif karşı önlemlere ihtiyaç olduğunu gösteriyor.
Download Free Cybersecurity Planning Checklist for SME Leaders (PDF) – Free Download