e
sv

Yeni Tehdit Raporu Kötü Amaçlı Yazılımlar Bulundu

Adsiz tasarim 7 | Tekno Deha
avatar

Mustafa Topcu

  • e0

    Mutlu

  • e0

    Eğlenmiş

  • e0

    Şaşırmış

  • e0

    Kızgın

  • e 0

    Üzgün

HP ve Bromium’un Salı günkü haberine göre, kötü niyetli çevrimiçi aktörler 2020’nin son çeyreğinde kurbanlarına kötü amaçlı yazılım sunmak için e-postayı birincil araçları olarak kullandılar.

HP-Bromium Threat Insights Raporu, kötü amaçlı yazılımların yüzde 88’inin e-posta yoluyla hedeflerinin gelen kutularına teslim edildiğini ve birçok kez virüslü yazışmaları filtrelemek için e-posta ağ geçitlerindeki önlemlerden kaçındığını ortaya koydu.

HP’nin kıdemli kötü amaçlı yazılım analisti Alex Holland, “Nihayetinde saldırganlar, belgelerin e-postayla paylaşılmasının ve açılmasının normal olmasından yararlanıyor.” dedi.

TechNewsWorld’e verdiği demeçte “Finans ve BT departmanları, iş süreçlerini otomatikleştirmek için makroların ağır kullanıcıları olma eğilimindedir, bu nedenle bunları yönetim kurulunda yasaklamak genellikle gerçekçi bir seçenek değildir.” dedi.

E-posta, ilgili insanların zayıflığı nedeniyle birincil teslimat aracı olmaya devam edecek, Siber güvenlik danışmanlık hizmetleri westminster, Colo merkezli bir sağlayıcı olan Coalfire’ınsaldırı güvenliği direktörü Joseph Neumann’ı korudu.

Tel Aviv ve Lexington’da ofisleri bulunan açık bir XDR tehdit avcılığı şirketi olan Hunters’ınsiber tehdit araştırmaları başkanı Dvir Sayag, mass. bilgisayar korsanlarının özellikle sosyal mühendisliği kullanarak e-posta kimlik avı saldırılarının en uygun maliyetli uzlaşma yolları arasında olduğunu anladığını da sözlerine ekledi.

i | Tekno Deha

ign | Tekno DehaKötü Amaçlı Yazılım

 

Kaçınma Algılaması

HP-Bromium raporunda, bir Microsoft Word belgesi açıldığında kötü amaçlı komut dosyalarını çalıştırmak için kullanılan bir kusurdan yararlanan kötü amaçlı yazılım kullanımında önceki çeyreğe göre yüzde 12’lik bir artış olduğuna dikkat çekildi.

HP araştırmacıları ayrıca kötü amaçlı yürütülebilir dosyaların kullanımında yüzde 12’lik bir artış tespit etti ve bunların yaklaşık dörtte üçü Microsoft Office’in Denklem Düzenleyicisi’ndeki bir bellek bozulması kusurundan yararlanıyor.

Holland, “Bir yürütülebilir dosyanın en büyük avantajı, kötü amaçlı yazılımların ara aşamalarına ve etki alanı kayıt şirketleri ve Web barındırıcıları tarafından indirilmeye açık olan yükü barındırma ihtiyacını ortadan kaldırmanızdır.” dedi.

HP raporu ayrıca, tehditlerin antivirüs motorlarına karma olarak bilinmesi için ortalama sürenin bir haftadan (8,8 gün) fazla olduğunu ortaya koydu.

“AV hashes, kötü amaçlı yazılımı tanımlayan ve daha sonra kötü olarak gönderen biri tarafından oluşturulmalıdır,” diye devam etti. “Sadece karma değerlere dayalı AV algılamaları ölmekte olan bir hayvandır ve sezgisel tabanlı davranışsal algılamaları algılayan ve bunlara yanıt veren sistemlerle daha sık değiştirilmektedir.”

Holland, saldırganların geleneksel algılama tabanlı araçları atlamak için sürekli olarak yeni yollar bulduklarını da sözlerine ekledi.

“Bilgisayar korsanlarının oluşturduğu her yeni kötü amaçlı yazılım varyantı için, tespit araçları yetişmeden önce makinelere bulaşarak kampanyalarından yararlanmak için birkaç günlük bir başlangıç yapıyorlar.” dedi. “Otomasyon ile bu süreç artık her zamankinden daha kolay.”

Gizleme Teknikleri

HP araştırmacıları ayrıca, analiz için yakalanan kötü amaçlı yazılımların yüzde 29’unun, öncelikle paketleyicilerin yaygın kullanımı ve tespitten kaçınmak için kullanılan gizleme teknikleri nedeniyle daha önce bilinmediğini bildirdi.

“Kötü niyetli aktörler saldırılarını gizlemek için bir dizi teknik kullanırlar. Ayrıntılar, kurban çevrelerinde hangi savunmalarla karşılaştıklarına bağlıdır,” diyor El Segundo, Calif’teki bir tehdit istihbarat şirketi olan Gurucul’unCEO’su Saryu Nayyar.

TechNewsWorld’e verdiği demeçte “‘Daha önce bilinmeyen’ tehditlerle ilgili zorluk, başlangıçta bilinen bir uzlaşma göstergesi olmamasıdır, bu da ilk tespitin saldırgan davranışından veya varlıklarını ortaya çıkaran başka bir faaliyetten gelmesi anlamına gelir.” dedi.

Saldırganların faaliyetlerini gizlemelerinin bir yolu, Forrester Research’tekıdemli bir analist olan Brian Kime’nin gizli kanalları kullanmaktan geçtiğini gözlemledi.

TechNewsWorld’e verdiği demeçte “DNS hizmetini, görünüşte iyi huylu bir DNS isteği içindeki kötü amaçlı komutları kodlamak için kullanabilirler.” dedi. “Her kuruluş DNS kullanmak zorundadır. İnternet böyle işliyor.” Dns, Etki Alanı Adlandırma Hizmeti, bir tarayıcının istenen hedefe ulaşabilmesi için web adlarını IP adreslerine dönüştürür.

HP raporunda belirtilen bir gizleme tekniği DOSfuscation’dır. Güvenlik araştırmacısı Daniel Bohannon tarafından 2018 yılında açıklanan gizleme tekniklerinin bir koleksiyonudur.

Holland “Teknik etkilidir, çünkü SIEM [Güvenlik Bilgileri ve Olay Yönetimi] kuralları, kötü amaçlı yazılımları PowerShell gibi işlemlerden ayırt etmek için genellikle şüpheli anahtar kelimeleri eşleştirmeye dayanır.” dedi.

Geleneksel Eksiklikler

Neumann, çoğu bilgisayar korsanın tehdit faaliyetlerini gizlemesine gerek olmadığını savundu.

“Çoğu istismar ve teknik ortak güvenlik açıklarından yararlanıyor veya erişim sağlamak ve ağları yağmalamak için sosyal mühendisliği kullanıyor.” diyor.

“Siber uzayın bu büyüklükte olmasıyla, aktörlerin içeri girmesine izin veren açık, izlenmemiş veya eşsiz şeyler kaldı” diye devam etti.

Neumann, “Çoğu ağ, ağ trafiği veya tehditleri konusunda tam görünürlüğe sahip değildir ve ne zaman aktif olarak bulunduklarını veya istismar edildiklerini bilmezler.” diye de ekledi.

HP’nin Kişisel Sistemler Küresel Güvenlik Başkanı Ian Pratt, üç aylık raporun, kötü amaçlı yazılımların uç noktalara ulaşmasını engellemek için algılamaya dayanan geleneksel savunmalardaki eksiklikleri vurguladığını kaydetti.

Yaptığı açıklamada “Her tehdidi tespit etmeye çalışmak beyhudedir, bir şey her zaman ağdan kayıp gidecektir.” dedi.

“Kuruluşlar bunu tanımaya başlıyor ve güvenlik mimarilerine sıfır güven tasarım ilkelerini uygulamaya giderek daha fazla bakıyorlar.” diye devam etti.

“Sanallaştırma yoluyla uygulama yalıtımı, uç noktadaki riskli etkinliklere en az ayrıcalıklı erişim uygular ve kötü amaçlı yazılımları mikro sanal makinelerde yalıtarak zararsız hale getirir” diye açıkladı. “Donanım tarafından zorlanan yalıtım, kötü amaçlı yazılımların ana bilgisayara zarar verme fırsatını ortadan kaldırır – yeni kötü amaçlı yazılımlardan bile – çünkü korunmak için algılama güvenlik modeline dayanmaz.”

Kötü Amaçlı Yazılım

Önlemede Aşırı Yatırım

San Jose, Kaliforniya merkezli otomatik tehdit yönetimi çözümleri sağlayıcısı Vectra AI’nınCTO ekibinin teknik direktörü Tim Wade, sıfırıncı gün güvenlik açıkları olduğu sürece önleme stratejilerinin yüksek bir başarısızlık oranına sahip olacağını söyledi.

“Önlemede mevcut örgütsel aşırı satınlanma durumu, felçli iş hedeflerinin boğucu maliyeti ve giderek kısıtlanan üretkenlik ile pahalı, marjinal yetenek artışlarında neredeyse her zaman bir alıştırmadır.” dedi.

“Önlemeden daha önemli olan şey, bir saldırının etkisini en aza indiren güvenlik yatırımlarının belirlenmesini içeren dayanıklılıktır.” diye devam etti.

Yeni Tehdit Raporu Kötü Amaçlı Yazılımlar Bulundudan bahsettiğimiz yazımız buraya kadardı, sizin Yeni Tehdit Raporu Kötü Amaçlı Yazılımlar Bulundu hakkında görüşleriniz neler? Aşağı kısımda bulunan yorum bölümünde görüşlerinizi belirtmeyi unutmayınız. Web sitemizdeki diğer haberlere gitmek için buraya tıklayınız. Sizin görüşleriniz bizim için önemli illaki bir yorum yapmaya özen gösterin.

etiketlerETİKETLER
Üzgünüm, bu içerik için hiç etiket bulunmuyor.

Sıradaki içerik:

Yeni Tehdit Raporu Kötü Amaçlı Yazılımlar Bulundu