HP, bugün üçüncü çeyrek HP Wolf Güvenlik Tehdit Öngörüleri Raporu’nu yayınladı; ZIP ve RAR evrakları üzere arşiv belge biçimlerinin berbat maksatlı yazılımları yaymak için en çok kullanılan evrak çeşidi olduğunu ve üç yıl sonra birinci defa Office evraklarını geçtiğini ortaya koydu. Gerçek dünyadaki siber atakların tahlilini sunan rapor, süratle değişen siber hata ortamında siber hatalıların tespit edilmemek ve kullanıcılara ziyan vermek için kullandıkları en son tekniklere dikkat çekerek kurumlara yardımcı oluyor.
HP Wolf Security çalıştıran milyonlarca uç noktadan elde edilen bilgilere dayanan araştırma, ziyanlı yazılımların yüzde 44’ünün arşiv evraklarının içinden gönderildiğini ortaya koydu. Rapora nazaran Microsoft Word, Excel ve PowerPoint üzere Office belgeleri aracılığıyla ziyanlı yazılım yayma oranı olan yüzde 32’ye kıyasla, arşiv belgelerinin ulaştığı yüzde 44 oranı, bir evvelki çeyreğe nazaran yüzde 11’lik bir artışa da işaret ediyor.
Rapor, arşiv belgelerinin kullanımını yeni HTML kaçakçılığı teknikleriyle (siber hatalıların e-posta ağ geçitlerini atlamak için ziyanlı arşiv evraklarını HTML evraklarına yerleştirme teknikleri ile) birleştiren ve akabinde atak başlatan birkaç akın tespit etti.
Örneğin, son QakBot ve IceID akınları, kullanıcıları Adobe üzere görünen uydurma çevrimiçi doküman görüntüleyicilere yönlendirmek için HTML evraklarını kullandı. Kullanıcılara daha sonra bir ZIP evrakı açmaları ve evrakları açmak için bir parola girmeleri talimatı verildi ve bu parolayla bilgisayarlarına makus maksatlı yazılım yerleştirildi.
Özgün HTML belgesi içindeki ziyanlı yazılım kodlanmış ve şifrelenmiş olduğundan, e-posta ağ geçidi yahut öbür güvenlik araçları tarafından tespit edilmesi çok zorlaşıyor. Saldırganlar toplumsal mühendisliğe güveniyor ve insanları kandırarak makûs gayeli ZIP belgesini açması için ikna edici ve güzel tasarlanmış bir web sayfası oluşturuyor. Ekim ayında da tıpkı saldırganların uydurma Google Drive sayfaları kullanarak kullanıcıları ziyanlı ZIP evraklarını açmaları için kandırmaya çalıştıkları tespit edilmişti.
HP ayrıyeten, saldırganların atağın tam ortasında silahlarını (casus yazılım, fidye yazılımı, keylogger gibi) değiştirmesine yahut geo-fencing (coğrafi bir bölge etrafındaki sanal sınır) üzere yeni özellikler sunmasına imkan tanıyan ve modüler bir bulaşma zinciri kullanan karmaşık bir atak tespit etti. Yani, saldırgan, ihlal ettiği amaca bağlı olarak taktiklerini değiştirebiliyor. Makûs maksatlı yazılımın direkt gayeye gönderilen eke dahil edilmemesi, e-posta ağ geçitlerinin bu çeşit hücumları tespit etmesini de zorlaştırıyor.
HP Wolf Security, kullanıcıları korumak için e-posta eklerini açma, belge indirme ve temaslara tıklama üzere riskli adımları yalıtılmış, mikro sanal makinelere (mikro VM’ler) alıyor ve virüs bulaşma teşebbüslerinin detaylı izlerini yakalıyor. HP’nin uygulama izolasyonu teknolojisi, öteki güvenlik araçlarını atlatabilen tehditleri azaltırken yeni müsaadesiz giriş teknikleri ve tehdit aktörlerinin davranışları hakkında eşsiz bilgiler sağlıyor. HP Wolf Security, algılama araçlarını atlatan tehditleri izole ederek, siber hatalılar tarafından kullanılan en son teknikler hakkında özel bilgiler topluyor. HP müşterileri bugüne kadar 18 milyardan fazla e-posta ekine, web sayfasına tıkladı ve hiçbir ihlal bildirilmeden evrak indirdi.
