Kapsamlı, entegre ve otomatik siber güvenlik tahlillerinde dünya başkanı Fortinet, çeyrekten çeyreğe yayınladığı Küresel Tehdit Görünümü Raporu’nun son bulgularını duyurdu. Araştırma, siber hatalıların dijital taarruz yüzeyi boyunca yeni akın fırsatları aramaya devam ettiklerini ve hücumlarını daha sofistike hale getirdikçe atlatma ve anti-analiz tekniklerinden faydalandıklarını ortaya koyuyor.
Tehdit Görünümü Endeksi, bu çeyrekte bir dönüm noktası yaşadı. Endeks, yıldan yıla orjinal başlangıç düzeyinin neredeyse yüzde 4 üzerine çıktı. Yıllık vakit dilimindeki yükseliş tepe yaptı ve 2019 takvim yılı ikinci çeyreğinin kapanış noktasına ulaştı. Bu ani ve süratli artışta artan ziyanlı yazılım ve istismar hadiseleri tesirli oldu.
Fortinet Tehdit Görünümü Raporu’nun öne çıkan bulguları ise şöyle:
Siber saldırganlar atlatma taktiklerinde eli yükseltiyor
Pek çok çağdaş ziyanlı yazılım araçları, halihazırda virüs muhafaza programından kaçan virüsleri yahut başka tehdit tespit uygulamalarını içeriyor; lakin, siber saldırganlar, gizlenme ve tespit edilmeden kaçınma için uyguladıkları anti-analiz pratiklerinde giderek daha sofistike hale geliyor.
Örneğin, bir spam kampanyası siber saldırganların bu teknikleri savunma sistemlerine karşı nasıl kullandıklarını ve kendilerine nazaran nasıl uyarladıklarını gösteriyor. Hücum kampanyası ziyanlı bir makroya dönüşerek silah haline gelen bir Excel dokümanıyla ekli olarak gelen bir oltalama (phishing) e-postasının kullanımını içeriyor. Excel’deki makro yapısının güvenlik araçlarını devreden çıkaracak, talimatları itinasız yerine getirecek, bellek meselelerine yol açacak özelliklerle tasarlandı ve sadece Japon sistemleri üzerinde çalışması sağlandı. Taarruzun özellikle aradığı bir özellik olan bir xlDate değişkeni ise belgelenmemiş üzere görünüyor.
Diğer bir örnek olan Dridex bankacılık truva atının varyantı ise, akının kurbanı her oturum açtığında belgelerin ismini değiştirerek ve bozarak virüsün bulaştığı ana sistem üzerinde ziyanlı yazılımın tespit edilmesini zorlaştırıyor.
Anti-analiz ve gelişmiş atlatma taktiklerinin artan kullanımı çok katmanlı savunma ve davranış temelli tehdit tespitine yönelik gereksinimi bir defa daha hatırlatıyor.
Çok düzgün gizlenen hücumlar uzun vadeli olmayı amaçlıyor
Bilgi çalan Zegost ziyanlı yazılımı, bireye özel oltalama kampanyalarında bir dönüm noktası teşkil ediyor ve karmaşık yapıda teknikler kullanıyor. Tıpkı bilgi çalmayı amaçlayan öteki ziyanlı yazılımlar üzere Zegost’un da asıl maksadı kurbanın aygıtına ilişkin bilgi toplamak ve bunları ele geçirmek. Fakat, bilgi çalmayı hedefleyen öbür yazılımlarla karşılaştırıldığında, Zegost, eşsiz bir formda fark edilmemek üzere yapılandırıldı. Örneğin, Zegost olay kayıtlarını temizlemek için tasarlanan bir fonksiyonelliğe sahip. Tipik ziyanlı yazılımlarda, bu çeşitten bir temizleme özelliği görülmüyor. Zegost’un atlatma yeteneklerindeki değişik gelişmelerden biri de bulaşma rutinini başlatmasının akabinde 14 Şubat 2019’a kadar bilgi çalma özelliğini “hareketsiz” tutan bir komuta sahip olmasıydı.
Zegost’un gerisindeki tehdit aktörleri, onu benzerlerine kıyasla daha uzun müddetli bir tehdit haline getirerek, hedeflenen kurbanlarla bir temas kurduğunu ve sürdürdüğünü garantilemek için bir dizi istismardan faydalanıyor.
Fidye yazılımlar daha amaç odaklı akın eğilimini sürdürüyor
Çeşitli kentlere, lokal idarelere ve eğitim sistemlerine yönelik hücumlar, fidye yazılımların ortadan kaybolmadığına, bilakis büyüyen pek çok kuruma yönelik önemli bir tehdit oluşturmaya devam ettiğine dair bir hatırlatma misyonu görüyor. Fidye yazılım taarruzları, kitlesel, rastgele hücumlardan, fidye ödemeye eğilimli ya da fidye ödeyebilecek durumda olduğu düşünülen kurumlara yönelik daha amaç odaklı ataklar haline geliyor. Birtakım hadiselerde, siber hatalılar, fırsattan en yeterli formda istifade etmek için dikkatlice belirledikleri sistemlere fidye yazılım kurulumunu yapmadan evvel önemli bir ön araştırma yürütüyor.
Örneğin, kurumun ağ altyapısına saldırmak için tasarlanan RobbinHood fidye yazılımı, data şifrelemeyi engelleyen Windows hizmetlerini devre dışı bırakabiliyor, paylaşımlı şoförlerle olan temasları koparabiliyor.
Sodinokibi isimli bir öteki fidye yazılım da kurumlar için önemli bir tehdit oluşturabiliyor. İşleyiş manasında, kullanımda olan fidye yazılımların büyük bir kısmından farklılaşmıyor. Sodinokibi, yüzeysel kod işletimine imkân tanıyan yeni bir zafiyeti istismar eden ve oltalama e-postasıyla kullanıcıya iletilen öbür fidye yazılımların bilakis rastgele bir kullanıcı etkileşimi gerektirmeyen bir taarruz vektörü nedeniyle sorun yaratıyor.
Vektörden bağımsız olarak, fidye yazılımlar gelişen kurumlar için önemli bir tehdit oluşturmaya devam etmesi, yamalamanın önceliklendirilmesi ve bilgi güvenliği farkındalık eğitiminin değerine dair bir hatırlatma misyonu görüyor. Bunun yanı sıra, BlueKeep üzere uzaktan Masaüstü Protokolü (Remote Desktop Protocol-RDP) zafiyetleri, uzaktan erişim hizmetlerinin siber saldırganlar için bir fırsat teşkil ettiğini ve fidye yazılımları yaymak için bir atak vektörü olarak da kullanılabileceklerine dair bir ikaz niteliği taşıyor.
Dijital taarruz yüzeyinde yeni fırsatlar
Evdeki yazıcılar ve kritik altyapılar ortasındaki grafik, konutta ya da küçük ölçekli işletmelerde kullanılan denetim sistemleri konusunda artan bir seyir gösteriyor. Bu akıllı sistemler, endüstriyel versiyonlarına kıyasla siber saldırganların daha az dikkatini çekse de bu durum çevresel denetim, güvenlik kameraları ve emniyet sistemleri üzere denetim aygıtlarını amaç alan hücum aktivitelerindeki artışa bağlı olarak değişebilir. İdare tahlilleri geliştirmeye yönelik bir bulgunun kurumların sırf yüzde 1’inde görüldüğü tespit ediliyor. Bu, her ne kadar küçük bir oran üzere görünse de ICS ve SCADA eserlerinde olağan olarak bedellendirilen sayının üzerinde kalıyor.
Siber hatalılar mesken ve işyerlerindeki denetim aygıtlarını ele geçirmenin yeni yollarını arıyor. Bazen bu aygıtlar, öbürleri kadar önceliklendirilmiyor ya da klasik BT idaresi kapsamının dışında tutuluyor. Meskenlerde kullanılan akıllı aygıtlar ve küçük işletmelerin sistemlerinin güvenliğine, bu aygıtlara erişimin önemli güvenlik sonuçları yaratabileceği sebebiyle, özellikle itina gösterilmesi gerekiyor. Bu, inançlı erişimin çok kıymetli olduğu uzaktan çalışma ortamları için de geçerlidir.
Kurumunuzu siber hücumlara karşı müdafaanın yolu kapsamlı, entegre ve otomatik güvenlikten geçiyor
Dinamik, proaktif ve gerçek vakitli tehdit tahlili dijital akın yüzeyini maksat alan atak prosedürlerinin evrimleşmesini gösteren trendlerin tespit edilmesine ve siber hijyen önceliklerinin belirlenmesine yardımcı olabilir. Tehdit istihbaratı her bir güvenlik aygıtında gerçek vakitli olarak uygulanmazsa tehdit istihbaratına nazaran aksiyon alabilme mahareti ve ehemmiyeti önemli oranda azalıyor. Sırf kapsamlı, entegre ve otomatik bir yapıda olan “security fabric” mimarisi objelerin internetinden uca, ağ çekirdeğine ve çoklu bulutlara kadar ağa irtibatlı tüm ortamda süratli ve ölçeklenebilir muhafaza sağlayabiliyor.