Kimlik avı ve kimlik bilgilerinin ele geçirilmesini içeren ihlaller, tehdit aktörlerinin hem hedefli hem de fırsatçı saldırıları gerçekleştirirken taktikleri ne sıklıkta kullandıklarından dolayı son yıllarda büyük ilgi gördü. Ancak bu, kurumsal kuruluşların güvenlik açığı düzeltmelerine biraz daha odaklanmayı göze alabilecekleri anlamına gelmez.
Kaspersky’nin bu hafta yayınladığı bir rapor, geçen yıl İnternet’e yönelik uygulamalardaki güvenlik açıklarının istismar edilmesinden kaynaklanan, kötü amaçlı e-postalar ve güvenliği ihlal edilmiş hesapları içeren ihlallerden daha fazla ilk izinsiz giriş tespit etti. kombine. Ve şirketin 2022’nin ikinci çeyreği boyunca topladığı veriler, aynı eğilimin bu yıl da devam edebileceğini gösteriyor.
Kaspersky’nin 2021 analizi Olay-tepki verileri, güvenlik açığı istismarlarını içeren ihlallerin 2020’deki tüm olayların %31,5’inden 2021’de %53.6’ya yükseldiğini gösterdi. Aynı dönemde, ilk erişim elde etmek için güvenliği ihlal edilmiş hesapların kullanımıyla ilişkili saldırılar 2020’de %31,6’dan 17,9’a düştü. % geçen yıl. Kimlik avı e-postalarından kaynaklanan ilk izinsiz girişler, aynı dönemde %23,7’den %14,3’e düştü.
Exchange Sunucusu Kusurları Exploit Çılgınlığını Artırıyor
Kaspersky, geçen yıl istismar etkinliğindeki artışın, büyük olasılıkla Microsoft’un ifşa ettiği, ProxyLogon kusurları olarak bilinen Mart 2021’de dört sıfır günü (CVE-2021-26855, CVE-2021-) dahil olmak üzere birden çok kritik Exchange Server güvenlik açığıyla bağlantılı olduğunu belirtti. 26857, CVE-2021-26858, CVE-2021-27065). Birbirlerine zincirlendiklerinde, saldırganların şirket içi Exchange Sunucuları üzerinde tam bir uzaktan kontrol elde etmelerine izin verdiler.
Aralarında Çin’den organize suç çetelerinin ve devlet destekli grupların da bulunduğu saldırganlar, Microsoft’un kusurlar için bir yama yayınlamadan önce on binlerce güvenlik açığı bulunan Exchange Server sistemini hızla sömürdü ve üzerlerine Web kabukları attı. Güvenlik açıkları, her yerde bulunmaları ve ciddiyetleri nedeniyle büyük endişe uyandırdı. Hatta ABD Adalet Bakanlığı’ndan FBI’a eşi benzeri görülmemiş bir adım atması için yetki vermesini bile istediler. ProxyLogon Web kabuklarını proaktif olarak kaldırma yüzlerce kuruluşa ait sunuculardan – çoğu durumda, herhangi bir bildirimde bulunmadan.
Saldırganların fidye yazılımlarını bırakmak ve iş e-postası güvenliğini aşmak için (BEC) yaygın olarak kullandığı ProxyShell (CVE-2021-31207, CVE-2021-34473, CVE-2021-34523) olarak adlandırılan başka bir Exchange Server güvenlik açığı, 2021’deki açıklardan yararlanma etkinliğini de yönlendirdi. ) saldırır.
Kaspersky’nin Küresel Acil Müdahale Ekibi başkanı Konstantin Sapronov, bir yıldan uzun bir süre sonra, ProxyLogon ve ProxyShell güvenlik açıklarının yoğun istismar etkinliğinin hedefi olmaya devam ettiğini söylüyor. Bu kusurların en şiddetlilerinden biri (CVE-2021-26855) aynı zamanda en çok hedeflenen olmuştur. Kaspersky, ProxyLogon setinin bir parçası olan güvenlik açığının 2021’de yanıt verdiği güvenlik açığı açıklarından yararlanmaları içeren tüm olayların %22,7’sinde istismar edildiğini gözlemledi ve Sapronov’a göre kusur bu yıl da saldırganlar arasında favori olmaya devam ediyor.
Aynı Sömürü Eğilimi Muhtemelen 2022’de Ortaya Çıkacak
Sapronov, her yerde bulunan Apache Log4j güvenlik açığı (CVE-2021-44228) dahil olmak üzere bu yıl birkaç ciddi güvenlik açığı ortaya çıkmış olsa da, 2021’in en çok yararlanılan güvenlik açıklarının 2022’de de çok yaygın olmaya devam edeceğini söylüyor Sapronov, Exchange sunucu hatalarının ötesinde. Örneğin Kaspersky, Microsoft’un MSHTML tarayıcı motorundaki (geçen Eylül’de yamalanan CVE-2021-40444) bir kusuru, 2022’nin ikinci çeyreğinde en yoğun saldırıya uğrayan güvenlik açığı olarak belirledi.
Sapronov, “MS Exchange Server ve Log4j kitaplığı gibi popüler yazılımlardaki güvenlik açıkları çok sayıda saldırıya neden oldu” diyor. “Kurumsal müşterilere tavsiyemiz, yama yönetimi sorunlarına çok dikkat etmeleridir.”
Yama Uygulamaya Öncelik Verme Zamanı
Diğerleri, güvenlik açığından yararlanma etkinliğinde benzer bir artış kaydetti. Nisan ayında, Palo Alto Networks’ün 42. Birim tehdit araştırma ekibinden araştırmacılar, 2022’de o noktaya kadar %31’in veya yaklaşık üç olaydan birinin nasıl güvenlik açığı istismarları içerdiğini belirttiler. Bunların yarısından fazlasında (%55) tehdit aktörleri ProxyShell’i hedef almıştı.
Palo Alto araştırmacıları, tehdit aktörlerinin, CVE’nin duyurulmasından tam anlamıyla dakikalar sonra, yeni açıklanan bir kusura sahip sistemleri tipik olarak taradığını da buldu. Bir örnekte, bir F5 ağ cihazında (CVE-2022-1388) güvenlik açığının ifşa edilmesinden sonraki ilk 10 saat içinde 2.552 kez hedeflenen bir kimlik doğrulama atlama hatası gözlemlediler.
İstismar Sonrası Aktiviteyi Tespit Etmek Zor
Kaspersky’nin olay-tepki verilerinin analizi, vakaların yaklaşık %63’ünde saldırganların ilk girişi elde ettikten sonra bir aydan fazla bir süre ağda fark edilmeden kalmayı başardığını gösterdi. Çoğu durumda bunun nedeni, saldırganların veri toplamak, ayrıcalıkları yükseltmek ve komutları yürütmek için PowerShell, Mimikatz ve PsExec gibi meşru araçlar ve çerçeveler kullanmasıydı.
Birisi bir ihlali çabucak fark ettiğinde, bunun nedeni genellikle saldırganların, örneğin bir fidye yazılımı saldırısı sırasında olduğu gibi bariz hasar oluşturmasıdır. Sapronov, “Hizmetler kullanılamadığından ve monitörünüzde bir fidye notunuz olduğundan, verileriniz şifrelendiğinde bir fidye yazılımı saldırısını tespit etmek kolaydır” diyor.
Ancak hedef bir şirketin verileri olduğunda, saldırganların gerekli bilgileri toplamak için kurbanın ağında dolaşmak için daha fazla zamana ihtiyacı vardır. Bu gibi durumlarda saldırganlar daha sinsi ve temkinli davranırlar, bu da bu tür saldırıların tespit edilmesini zorlaştırır. “Bu tür durumları tespit etmek için, genişletilmiş algılama ve yanıt (EDR) benzeri telemetriye sahip bir güvenlik aracı yığını kullanmanızı ve düşmanlar tarafından kullanılan yaygın araçların tespiti için kurallar uygulamanızı öneririz” diyor.
Vulcan Cyber’de kıdemli teknik mühendis olan Mike Parkin, kurumsal organizasyonlar için gerçek çıkarımın, saldırganların bir ağı ihlal etmek için ellerinden gelen her fırsatı kullanacakları olduğunu söylüyor.
“Bir dizi istismar edilebilir güvenlik açığıyla, bir artış görmek sürpriz değil” diyor. Rakamların, sosyal olarak tasarlanmış kimlik bilgileri saldırıları üzerindeki güvenlik açıkları için daha yüksek olup olmadığını söylemek zor, diye belirtiyor.
“Ancak sonuç şu ki, tehdit aktörleri işe yarayan açıkları kullanacak. Bazı Windows hizmetlerinde yeni bir uzaktan kod istismarı varsa, yamalar çıkmadan veya güvenlik duvarı kuralları gelmeden önce bu koda akın edecekler ve mümkün olduğunca çok sistemi ihlal edecekler. konuşlandırıldı” diyor.
Asıl zorluk, uzun kuyruklu güvenlik açıklarıdır: ProxyLogon gibi daha eski olanlar, gözden kaçan veya yok sayılan güvenlik açığı bulunan sistemlere sahip olan Parkin, yama uygulamasının bir öncelik olması gerektiğini de sözlerine ekledi.