Siber güvenlik uzmanları, 2020 yılının ikinci çeyreğine ait İnternet Güvenlik Raporu’nun yayımlandığını duyurdu. İkinci çeyrekte bilinen makûs maksatlı yazılım tespitlerinde yaşanan %8’lik bir düşüşe karşın, tüm taarruzların %70’inin sıfır gün berbat hedefli yazılım içerdiğine dikkat çeken uzmanlar, evvelki çeyreğe nazaran gelişmiş tehditlerde %12 artışın görüldüğünü raporladı.
“Küresel COVID-19 salgını nedeniyle operasyonlarını düzenleyenler ortasında yalnızca şirketler değil, siber hatalılar da var.” sözlerini kullanan WatchGuard CTO’su Corey Nachreiner, “Bilinen makus gayeli yazılım tespitlerinin 2. çeyrekte azalmasına karşın, uzaktan çalışmaya geçiş nedeniyle, bilinen gelişmiş hücumlardaki artış, saldırganların klasik imza tabanlı berbat hedefli yazılımlardan koruyan güvenlik savunmalarının yakalayamayacağı daha gelişmiş taktiklere yöneldiğini gösteriyor. Her şirket hem temel ağı hem de uzak iş güçlerini korumak için davranış tabanlı tehdit algılamaya, bulut tabanlı sandbox’a ve katmanlı güvenlik hizmetlerine öncelik vermelidir.” açıklamalarında bulundu.
İkinci Çeyrekte Dikkat Çekenler
Şimdiki makûs hedefli yazılım ve ağ saldırısı eğilimlerine, derinlemesine tehdit araştırmasına ve kuruluşların kendilerini, iş ortaklarını ve müşterilerini daha iyi korumak için yararlanabilecekleri önerilen en iyi güvenlik uygulamalarına detaylı bir bakış sağlayan WatchGuard 2020 2. Çeyrek İnternet Güvenliği Raporu’ndan elde edilen temel bulgular şöyle:
1. Saldırganlar gelişmiş ve şifrelenmiş tehditlerden yararlanmaya devam ediyor. Sıfır gün berbat maksatlı yazılımlar, 2. çeyrekteki toplam tespitlerin üçte ikisinden fazlasını oluştururken, şifreli HTTPS kontakları üzerinden gönderilen akınlar ise %34’ünü oluşturdu. Şifrelenmiş trafiği inceleyemeyen kuruluşlar, gelen tehditlerin üçte birini kaçıracaktır. Birinci çeyrekteki şifrelenmiş tehditlerin oranının %64’ten düşmesine karşın, HTTPS şifreli makus hedefli yazılımların hacmi değerli ölçüde arttı. Firebox güvenlik aygıtlarında HTTPS incelemesini aktifleştirmek için daha fazla yöneticinin gerekli adımları attığı görülüyor, lakin yapılacak daha çok iş bulunuyor.
2. JavaScript tabanlı ataklar yükselişte. Dolandırıcılık scripti Trojan.Gnaeus, WatchGuard’ın 2. çeyrekte birinci 10 makûs maksatlı yazılım listesinin başında yer alarak neredeyse beş berbat emelli yazılım tespitinden birini oluşturdu. Gnaeus berbat hedefli yazılımı, tehdit aktörlerinin kurbanın tarayıcısının denetimini gizlenmiş kodla ele geçirmesine ve amaçlanan web amaçlarından saldırganın denetimi altındaki alanlara zorla yönlendirmesine imkan tanıyor. Bir diğer pop-up biçimi JavaScript saldırısı olan J.S. PopUnder ise geçen çeyrekte en yaygın berbat hedefli yazılım türevlerinden biriydi. Burada da karmaşık bir komut belgesi, kurbanın sistem özelliklerini tarıyor ve bir anti-algılama taktiği olarak kusur ayıklama teşebbüslerini engelliyor. Bu tehditlerle çaba etmek için şirketler, kullanıcıların bilinmeyen bir kaynaktan bir tarayıcı uzantısı yüklemesini engellemeli, tarayıcıları en son yamalarla yeni tutmalı, reklam engelleyicileri kullanmalı ve güncellenmiş bir makûs maksatlı yazılımdan muhafaza motoru bulundurmalıdır.
3. Saldırganlar makûs maksatlı yazılımları gizlemek için şifrelenmiş excel evraklarını giderek daha fazla kullanıyor. XML-Trojan.Abracadabra, WatchGuard’ın en yaygın 10 makus gayeli yazılım algılama listesine eklenen yeni bir eser olup, tekniğin Nisan ayında ortaya çıkmasından bu yana süratle popülerlik kazandı. Abracadabra, “VelvetSweatshop” parolasıyla (Excel evrakları için varsayılan parola) şifrelenmiş bir Excel belgesi olarak sunulan bir makus maksatlı yazılım çeşididir. Excel açıldıktan sonra otomatik olarak belgenin şifresini çözüyor ve elektronik tablonun içindeki bir makro VBA komut belgesi indirilerek bir yürütülebilir belgeyi çalıştırıyor. Varsayılan bir parola kullanılması, evrak şifrelenip Excel tarafından çözüldüğünden, bu berbat emelli yazılımın birçok temel antivirüs tahlilini atlamasına müsaade veriyor. Şirketler, güvenilmeyen bir kaynaktan gelen makrolara asla müsaade vermemeli ve potansiyel olarak tehlikeli belgelerin gerçek gayesini bir bulaşmaya neden olmadan evvel inançlı bir biçimde doğrulamak için bulut tabanlı sandbox’dan yararlanmalıdır.
4. Eski ve epeyce kullanılabilir bir DoS saldırısı geri döndü. WordPress ve Drupal’ı etkileyen altı yıllık bir hizmet reddi (DoS) güvenlik açığı, WatchGuard’ın ikinci çeyrekte hacim bazında en yaygın 10 ağ saldırısı listesinde yer aldı. Bu güvenlik açığı bilhassa yamalı olmayan Drupal ve WordPress kurulumunu etkileyerek, makûs aktörlerin temel donanımda CPU ve bellek tükenmesine neden olabileceği DoS senaryolarını oluşturuyor. Bu taarruzlar yüksek hacmine karşın, bilhassa Almanya’daki birkaç düzine ağa çok odaklanmışlardı. DoS senaryoları kurban ağlarına daima trafik gerektirdiğinden, bu durum saldırganların gayelerini kasıtlı olarak seçme mümkünlüğünün yüksek olduğu manasına geliyor.
5. Makus hedefli yazılım domainleri, tahribata yol açmak için komut ve denetim sunucularından yararlanıyor. İki yeni gaye, WatchGuard’ın 2. çeyrekte en yaygın berbat maksatlı yazılım domaini listesine girdi. En yaygın olanı, akının çalışmasını sağlamak için gizlenmiş bir evrak ve bağlı kayıt defteri oluşturarak kullanıcıların Windows sistemlerini başlattıklarında hassas dataları sızdırıp ek berbat hedefli yazılım indirebilen Dadobra trojan varyantı için bir C&C sunucusu kullanan “findresults[.]site” idi. Ayrıyeten bir kullanıcının WatchGuard takımını, ekseriyetle PDF dokümanı aracılığıyla sunulan bir Asprox botnet varyantını desteklemek için öbür bir C&C sunucusu kullanan ve saldırgana süreklilik kazandığını ve botnet’e katılmaya hazır olduğunu bildirmek için bir C&C sinyali sağlayan “Cioco-froll[.]com” konusunda uyardı. DNS güvenlik duvarı, kuruluşların bu çeşit tehditleri irtibat için uygulama protokolünden bağımsız olarak algılamasına ve engellemesine yardımcı olabilir.
28,5 Milyondan Fazla Berbat Maksatlı Yazılım Varyantı Tespit Edildi
WatchGuard’ın çeyrek araştırma raporundaki bulgular, etkin WatchGuard aygıtlarındaki anonimleştirilmiş Firebox Feed datalarına dayanmakta. İkinci çeyrekte, yaklaşık 42.000 WatchGuard aygıtı rapora data kattı ve toplamda 28,5 milyondan fazla makus hedefli yazılım varyantını (cihaz başına 684) ve 1,75 milyondan fazla ağ tehdidini (cihaz başına 42) engelledi. Firebox aygıtları 2. çeyrekte 410 eşsiz taarruz imzasını toplu olarak tespit etti ve engelledi, bu da birinci çeyreğe nazaran %15’lik bir artış ve 2018’in 4. çeyreğinden bu yana en yüksek artış.
Raporun tamamı, günümüzde orta ölçekli işletmeleri etkileyen en kıymetli makûs gayeli yazılımlar ve ağ eğilimleri hakkında daha fazla bilgi ve bunlara karşı korunmak için önerilen güvenlik stratejileri ve en iyi uygulamaları içeriyor. Raporda ayrıyeten ShinyHunters hackleme kümesinin getirdiği son data ihlali çılgınlığının detaylı bir tahlili yer alıyor.
Hürriyet
