Proofpoint, güvenlik ekiplerinin PDF olarak dağıtılan kötü amaçlı dosyaları tespit etmesine ve izlemesine yardımcı olan PDF Object Hashing adlı yeni bir açık kaynaklı araç yayınladı.
Araç artık GitHub’da mevcut ve kimlik avı kampanyalarında, kötü amaçlı yazılım dağıtımında ve iş e-postası ihlali saldırılarında tehdit aktörleri tarafından kullanılan şüpheli belgelerin belirlenmesinde önemli bir ilerlemeyi temsil ediyor.
PDF’ler, kullanıcılara meşru göründükleri için siber saldırılarda birincil silah haline geldi. Tehdit aktörleri, insanları tıklamaları için kandırmak amacıyla sıklıkla kötü amaçlı URL’ler, QR kodları veya sahte banka bilgileri içeren PDF’ler gönderir.
Geleneksel güvenlik araçları genellikle bu tehditleri yakalamakta zorlanır çünkü PDF’ler kullanıcılarla aynı görünmeye devam ederken sayısız şekilde değiştirilebilir.
PDF formatı karmaşık ve esnektir ve güvenlik ekiplerinin aleyhine çalışır. Spesifikasyon, aynı belgeyi temsil etmenin birden fazla yoluna izin vererek saldırganlara izlerini gizlemek için birçok seçenek sunuyor.
Bazı PDF’ler şifrelenmiştir, bu da içindekilerin analiz edilmesini daha da zorlaştırır. PDF şifrelendiğinde güvenlik araçları içindeki metni, URL’leri veya resimleri okuyamaz.
Ek olarak, PDF’nin farklı bölümleri düz metin olarak veya sıkıştırılmış olarak saklanabilir ve alan adları gibi önemli ayrıntılar bu sıkıştırılmış bölümlerde gizlenmiş olabilir.
Bu varyasyonlar, tüm kötü amaçlı PDF’leri yakalayan basit algılama kuralları oluşturmayı neredeyse imkansız hale getirir. Saldırganlar bir URL’yi değiştirdiğinde veya sahte bir fatura resmini değiştirdiğinde imzanın tamamı bozulur ve tehdit gözden kaçar.
PDF Nesne Hashing’i Nasıl Çalışır?
Proofpoint’in çözümü farklı bir yaklaşım benimsiyor. Araç, PDF’nin içinde ne olduğuna odaklanmak yerine belgenin temel yapısını inceler.
PDF’deki nesnelerin türlerini ve bunların görünme sırasını analiz eder ve bu nesnelerin içindeki belirli ayrıntıları göz ardı eder. Bu, saldırganlar resimleri, URL’leri veya metni değiştirdiğinde bile sabit kalan belgenin bir “iskeletini” veya şablonunu oluşturur.
Araç daha sonra bu nesne türlerini benzersiz bir parmak izine dönüştürür. Bu parmak izi, tehdit aktörü yem görüntüsünü değiştirse, kötü amaçlı URL’yi güncellese veya diğer içerikleri değiştirse bile aynı kalır.
Teknik, şifrelenmiş PDF’lerde bile çalışır çünkü belge yapısı, ayrıntılar gizlendiğinde bile görünür kalır.
Proofpoint bu aracı tehdit aktörlerini takip etmek için zaten kullanıyordu. Ukrayna’yı hedef alan UAC-0050 grubu, kötü amaçlı yazılım içeren şifrelenmiş PDF’ler dağıtıyor.
Dosyalar şifrelendiğinden, geleneksel araçlar içlerindeki kötü amaçlı URL’leri çıkaramaz. Ancak PDF Object Hashing, Proofpoint’in bu tehditleri şifrelemeden bağımsız olarak yalnızca yapılarını analiz ederek tanımlamasına olanak tanıdı.
UNK_ArmyDrive olarak bilinen ve Hindistan’da faaliyet gösterdiğine inanılan başka bir aktör de saldırı zincirlerinde PDF’lere güveniyor.
Güvenlik ekipleri, geleneksel algılama yöntemlerinin yanı sıra PDF Nesne Hashing’i kullanarak, kötü amaçlı belgelerinin normalde gözden kaçabilecek varyasyonlarını yakalayabilir.
Araç, ilişkilendirmeyi önemli ölçüde geliştirir ve güvenlik ekiplerinin, birden fazla PDF saldırısının aynı tehdit aktörüne veya kampanyaya bağlandığını anlamasına yardımcı olur.
Analistler, PDF’leri benzer nesne yapılarına göre kümeleyerek kalıpları belirleyebilir ve gelecekteki saldırıları tahmin edebilir.
Bu gelişme, dosya formatı karmaşıklıklarının anlaşılmasının nasıl daha sağlam güvenlik çözümlerine yol açabileceğini göstermektedir.
Açık kaynak sürümü, daha geniş güvenlik topluluğunun bu algılama yöntemini kendi araçlarına ve iş akışlarına entegre etmesine olanak tanır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.