Çok Aşamalı Saldırı Senaryoları ve Gerçek Dünya Örnekleri

Karmaşık yürütme zincirleriyle karakterize edilen çok aşamalı siber saldırılar, tespit edilmekten kaçınmak ve kurbanları yanlış bir güvenlik duygusuna kandırmak için tasarlanmıştır. Nasıl işlediklerini bilmek, onlara karşı sağlam bir savunma stratejisi oluşturmanın ilk adımıdır. Şu anda aktif olan en yaygın çok aşamalı saldırı senaryolarından bazılarının gerçek dünya örneklerini inceleyelim.

Belgelerdeki URL’ler ve Diğer Gömülü İçerikler#

Saldırganlar, PDF’ler veya Word dosyaları gibi görünüşte meşru belgelerde sıklıkla kötü amaçlı bağlantıları gizler. Belgeyi açıp gömülü bağlantıya tıkladıklarında, kullanıcılar kötü amaçlı bir web sitesine yönlendirilir. Bu siteler genellikle kurbanın bilgisayarına kötü amaçlı yazılım indirmesini veya parolalarını paylaşmasını sağlamak için aldatıcı taktikler kullanır.

Bir diğer popüler gömülü içerik türü QR kodlarıdır. Saldırganlar kötü amaçlı URL’leri QR kodlarına gizler ve bunları belgelere ekler. Bu strateji kullanıcıları kodu taramak için mobil cihazlarına yönelmeye zorlar ve bu da onları kimlik avı sitelerine yönlendirir. Bu siteler genellikle giriş kimlik bilgileri ister ve saldırganlar girişte bunları hemen çalar.

Örnek: QR Kodlu PDF Dosyası#

Tipik bir saldırının nasıl gerçekleştiğini göstermek için, kötü amaçlı dosyaları ve URL’leri incelemek için güvenli bir sanal ortam sunan ANY.RUN Sandbox’ı kullanalım . Etkileşimliliği sayesinde, bu bulut tabanlı hizmet, tıpkı standart bir bilgisayarda olduğu gibi sistemle etkileşime girmemizi sağlar.

Black Friday teklifiyle 3’e kadar ANY.RUN lisansını hediye olarak alın→

Analizimizi basitleştirmek için, saldırıyı veya örnek yürütmeyi otomatik olarak tetiklemek için gereken tüm kullanıcı eylemlerini gerçekleştirebilen Otomatik Etkileşim özelliğini etkinleştireceğiz.

ANY.RUN sanal alanında açılan kötü amaçlı QR kodlu kimlik avı PDF’i

QR kodu içeren kötü amaçlı bir .pdf dosyası içeren bu sandbox oturumunu düşünün . Otomasyon açıkken, hizmet kodun içindeki URL’yi çıkarır ve tarayıcıda kendi kendine açar.

Mağdurlara kimlik bilgilerini paylaşmalarının teklif edildiği son kimlik avı sayfası

Birkaç yönlendirmeden sonra saldırı bizi Microsoft sitesini taklit etmek için tasarlanmış son kimlik avı sayfasına götürür. Tehdit aktörleri tarafından kontrol edilir ve girildiği anda kullanıcıların oturum açma ve parola verilerini çalmak üzere yapılandırılır.

Suricata IDS kuralı analiz sırasında bir kimlik avı alan adı zinciri tanımladı

Sandbox, saldırı sırasında gerçekleşen tüm ağ etkinliğini gözlemlemeyi ve tetiklenen Suricata IDS kurallarını görmeyi mümkün kılar

Analiz tamamlandıktan sonra ANY.RUN deneme ortamı kesin bir “kötü amaçlı etkinlik” kararı verir ve tehdit hakkında IOC’lerin bir listesini de içeren bir rapor oluşturur.

Çok Aşamalı Yönlendirmeler#

Çok aşamalı yönlendirmeler, kullanıcıları birden fazla sitede gezdiren ve sonunda kötü amaçlı bir hedefe yönlendiren bir URL dizisi içerir. Saldırganlar, yönlendirmelerin meşru görünmesini sağlamak için genellikle Google’ın veya TikTok gibi popüler sosyal medya platformlarının güvenilir etki alanlarını kullanır. Bu yöntem, güvenlik araçları tarafından son kötü amaçlı URL’nin tespit edilmesini zorlaştırır.

Bazı yönlendirme aşamaları, otomatik çözümlerin ve filtrelerin kötü amaçlı içeriğe erişmesini önlemek için CAPTCHA zorluklarını içerebilir. Saldırganlar ayrıca kullanıcının IP adresini kontrol eden betikler de dahil edebilir. Güvenlik çözümleri tarafından yaygın olarak kullanılan barındırma tabanlı bir adres tespit edilirse, saldırı zinciri kesintiye uğrar ve kullanıcı meşru bir web sitesine yönlendirilir ve bu da kimlik avı sayfasına erişimi engeller.

İşte görünüşte meşru bir TikTok bağlantısından başlayarak tüm saldırı zincirini gösteren bir sanal alan oturumu .

Google etki alanına yönlendirme içeren TikTok URL’si

Ancak daha yakından bakıldığında tam URL’nin meşru bir Google alan adına yönlendirme içerdiği ortaya çıkıyor.

ANY.RUN, CAPTCHA’yı otomatik olarak çözerek saldırının bir sonraki aşamasına geçer

Saldırı buradan başka bir siteye yönlendiriliyor ve ardından son kimlik avı sayfasına ulaşılıyor; ancak bu sayfa bir CAPTCHA zorluğuyla korunuyor.

Kullanıcı verilerini çalmak için tasarlanmış sahte Outlook sayfası

Gelişmiş içerik analizi sayesinde, sandbox bu CAPTCHA’yı otomatik olarak çözüyor ve kurbanların kimlik bilgilerini çalmak için tasarlanmış sahte sayfayı gözlemlememizi sağlıyor.

E-posta Ekleri#

E-posta ekleri çok aşamalı saldırılar için yaygın bir vektör olmaya devam ediyor. Geçmişte saldırganlar sıklıkla kötü amaçlı makrolar içeren Office belgeleri içeren e-postalar gönderiyordu.

Şu anda odak, yükleri ve betikleri içeren arşivlere kaymıştır. Arşivler, tehdit aktörlerinin kötü amaçlı yürütülebilir dosyaları güvenlik mekanizmalarından gizlemeleri ve dosyaların güvenilirliğini artırmaları için basit ve etkili bir yöntem sağlar.

Örnek: Formbook Kötü Amaçlı Yazılımı Olan E-posta Eki#

Bu sandbox oturumunda , .zip eki içeren bir kimlik avı e-postası görebiliriz. Hizmet, içinde birkaç dosya bulunan arşivi otomatik olarak açar.

Arşivli kimlik avı e-postası

Akıllı İçerik Analizi ile servis ana yükü belirler ve başlatır, bu da yürütme zincirini başlatır ve kötü amaçlı yazılımın canlı sistemde nasıl davrandığını görmemizi sağlar.

FormBook’un C2’sine olan bağlantısını tespit etmek için kullanılan Suricata IDS kuralı

Sandbox, FormBook’u tespit ediyor ve tüm ağ ve sistem aktivitelerini kaydediyor, ayrıca ayrıntılı bir tehdit raporu sağlıyor.

ANY.RUN’dan Black Friday Fırsatınızı Yakalayın#

Siber saldırıları hızla belirlemek için ANY.RUN sanal alanında şüpheli e-postaları, dosyaları ve URL’leri analiz edin. Otomatik Etkileşim ile hizmet, gerekli tüm analiz adımlarını kendi başına gerçekleştirebilir, size zaman kazandırır ve yalnızca tehdit hakkında en önemli içgörüleri sunar.

ANY.RUN’dan Black Friday teklifi

ANY.RUN şu anda Black Friday fırsatları sunuyor. 8 Aralık’tan önce sizinkini alın:

 

  1. Bireysel kullanıcılar için: 1 lisansın fiyatına 2 lisans.
  2. Ekipler için: Tehdit İstihbarat Arama için 3 lisansa kadar + yıllık temel plan, ANY.RUN’ın en son tehdit verilerinin aranabilir veritabanı;

 

Tüm teklifleri görün ve bugün ücretsiz denemeyle hizmeti test edin →

Çözüm#

Çok aşamalı saldırılar, hem kuruluşlar hem de bireyler için önemli bir tehdittir. En yaygın saldırı senaryolarından bazıları, belgelerdeki URL’ler ve yerleştirmeler, QR kodları, çok aşamalı yönlendirmeler, e-posta ekleri ve arşivlenmiş yükler içerir. Bunları ANY.RUN’ın Etkileşimli sanal alanı gibi araçlarla analiz ederek altyapımızı daha iyi savunabiliriz.

About The Author

Reply