Siber güvenlik tehditleri büyümeye devam ediyor, tehdit manzarası sürekli gelişiyor ve bilgisayar korsanları giderek daha karmaşık ve öngörülemez yöntemler kullanıyor. Devam eden bir siber güvenlik becerileri kıtlığıyla, siber güvenliği güçlendirmek ve kuruluşları sürekli gelişen tehdit manzarasından korumak için Yönetilen Hizmet Sağlayıcılarına (MSP’ler), birleşik güvenliğe ve otomatik platformlara olan ihtiyaç hiç bu kadar büyük olmamıştı.
WatchGuard Technologies her çeyrekte, önceki üç ayın en önemli kötü amaçlı yazılım eğilimleri ve ağ güvenliği tehditleri hakkında içgörüler sağlayan bir İnternet Güvenliği Raporu yayınlar. Threat Labs Q3 2023 İnternet Güvenliği Raporu’nun temel bulguları, uzaktan erişim yazılımı kötüye kullanımının artan örneklerini, değerli kimlik bilgilerini elde etmek için parola ve bilgi hırsızlarını kullanan siber saldırganların yükselişini ve tehdit aktörlerinin bir uç nokta saldırısı başlatmak için komut dosyası kullanmaktan diğer arazi dışı tekniklere geçişini göstermektedir.
2023 yılı 3. çeyreğine ait verileri içeren İnternet Güvenliği Raporu’nda öne çıkan bulgular arasında şunlar yer aldı:
- Tehdit aktörleri, kötü amaçlı yazılım tespitinden kaçınmak için giderek daha fazla uzaktan yönetim araçları ve yazılımları kullanıyor. Bu eğilim hem FBI hem de CISA tarafından da not edildi. Örneğin, en çok kullanılan kimlik avı alan adlarını araştırırken Threat Lab, kurbanın önceden yapılandırılmış, yetkisiz bir TeamViewer sürümünü indirmesiyle sonuçlanacak bir teknik destek dolandırıcılığı gözlemledi; bu da bir saldırganın bilgisayarına tam uzaktan erişim sağlamasına olanak tanıyacaktı.
- Medusa fidye yazılımı varyantı 3. çeyrekte artışa geçti ve uç nokta fidye yazılımı saldırılarında %89’luk bir artış yaşandı. Yüzeyde, uç nokta fidye yazılımı tespitleri Q3’te düşüş gösterdi. Ancak ilk kez En İyi 10 kötü amaçlı yazılım tehdidi arasında yer alan Medusa fidye yazılımı varyantı, Threat Lab’ın otomatik imza motorundan gelen genel bir imzayla tespit edildi. Medusa tespitleri hesaba katıldığında, fidye yazılımı saldırıları çeyrekten çeyreğe %89 arttı.
- Tehdit aktörleri senaryo tabanlı saldırıları kullanmaktan uzaklaşıyor ve giderek daha fazla araziden elde edilen diğer teknikleri kullanıyor. Kötü amaçlı betikler, 2. çeyrekte %41 düştükten sonra 3. çeyrekte saldırı vektörü olarak %11 azaldı. Yine de, betik tabanlı saldırılar toplam saldırıların %56’sını oluşturarak en büyük saldırı vektörü olmaya devam ediyor ve PowerShell gibi betik dilleri genellikle living-off-the-land saldırılarında kullanılıyor. Aynı zamanda, Windows living-off-the-land ikili dosyaları %32 arttı. Bu bulgular Threat Lab araştırmacılarına, tehdit aktörlerinin muhtemelen PowerShell ve diğer betikler etrafındaki daha fazla korumaya yanıt olarak birden fazla living-off-the-land tekniğini kullanmaya devam ettiğini gösteriyor. Living-off-the-land saldırıları en fazla uç nokta saldırısını oluşturuyor.
- Şifreli bağlantılar üzerinden gelen kötü amaçlı yazılımların oranı %48’e düştütespit edilen tüm kötü amaçlı yazılımların neredeyse yarısının şifrelenmiş trafik yoluyla geldiği anlamına gelir. Bu rakam, önceki çeyreklere göre önemli ölçüde düşük olduğu için dikkat çekicidir. Genel olarak, toplam kötü amaçlı yazılım tespitleri %14 arttı.
- Üçüncü çeyrekte tespit edilen en önemli 5 şifreli kötü amaçlı yazılımdan dördünü, kötü amaçlı yükler ileten e-posta tabanlı bir dropper ailesi oluşturdu. En İyi 5’teki varyantların bir tanesi hariç hepsi, e-posta mızraklı kimlik avı girişiminde ek olarak gelen Stacked adlı dropper ailesini içeriyordu. Tehdit aktörleri, bilinen bir göndericiden geliyormuş gibi görünen ve inceleme için bir fatura veya önemli bir belge içerdiğini iddia eden kötü amaçlı ekleri olan e-postalar göndererek son kullanıcıları kötü amaçlı yazılım indirmeye kandırmayı amaçlar. Stacked varyantlarından ikisi – Stacked.1.12 ve Stacked.1.7 – de En İyi 10 kötü amaçlı yazılım tespitinde yer aldı.
- Ticarileşmiş kötü amaçlı yazılımlar ortaya çıkıyor. En iyi kötü amaçlı yazılım tehditleri arasında, yeni bir kötü amaçlı yazılım ailesi olan Lazy.360502, İlk 10 listesine girdi. Reklam yazılımı varyantı 2345explorer’ın yanı sıra Vidar parola hırsızını da sunuyor. Bu kötü amaçlı yazılım tehdidi, bir kimlik bilgisi hırsızı sağlayan ve tehdit aktörlerinin çalınan kimlik bilgileri için ödeme yapabildiği bir “hizmet olarak parola hırsızı” gibi çalışan bir Çin web sitesine bağlandı ve bu da metalaştırılmış kötü amaçlı yazılımın nasıl kullanıldığını gösteriyor.
- Ağ saldırılarında 3. çeyrekte %16 artış görüldü. Ağ saldırılarında hedef alınan bir numaralı güvenlik açığı ProxyLogon oldu ve toplamda tüm ağ tespitlerinin %10’unu oluşturdu.
- Top 50 ağ saldırılarında üç yeni imza ortaya çıktı. Bunlar arasında 2012’den bir arabellek taşmasına neden olacak bir PHP Common Gateway Interface Apache güvenlik açığı vardı. Bir diğeri ise 2016’dan bir hizmet reddi saldırısına neden olabilecek bir Microsoft .NET Framework 2.0 güvenlik açığıydı. Ayrıca 2014’ten açık kaynaklı CMS olan Drupal’da bir SQL enjeksiyon güvenlik açığı vardı. Bu güvenlik açığı saldırganların kimlik doğrulaması gerektirmeden Drupal’ı uzaktan istismar etmesine olanak sağladı.
Tehdit aktörlerinin hassas bilgilere erişmek için denediği birçok yol göz önüne alındığında, kuruluşların tehdit algılama ve yanıt süreçlerini hızlandırmak için ağ, uç nokta, Wi-Fi ve kimlik koruması gibi farklı güvenlik türlerinin birlikte çalıştığı kapsamlı, çok katmanlı bir siber güvenlik stratejisine ihtiyacı vardır. Ayrıca, en iyi savunmaların bile sosyal mühendislik saldırılarıyla ortadan kaldırılabileceğini unutmamak önemlidir. Kullanıcıların, kötü niyetli bir aktörün bir kuruluşa girmesini engelleyen son savunma hattı olduklarını anlamaları gerekir.
yazar hakkında
Marc Laliberte, WatchGuard Technologies’de Güvenlik Operasyonları Direktörüdür. Marc, 2012 yılında WatchGuard ekibine katıldı ve son on yılın çoğunu çeşitli rol ve sorumluluklarla WatchGuard’ın iç güvenlik olgunlaşmasını şekillendirmeye yardımcı olarak geçirdi. Marc’ın sorumlulukları arasında WatchGuard’ın güvenlik operasyonları merkezini ve modern bilgi güvenliği trendlerini belirleyen ve raporlayan araştırma odaklı bir düşünce liderliği ekibi olan WatchGuard Threat Lab’ı yönetmek yer almaktadır. Marc, düzenli olarak konuşmalar yaparak ve çevrimiçi BT yayınlarına katkılarda bulunarak, tüm BT personeli seviyelerine güvenlik rehberliği sağlayan önde gelen bir düşünce lideridir.