Kuruluşunuzu siber suçlulardan korumak ve güvenliğini sağlamak için en son haberleri, araçları ve düşünce liderliğini takip ettiğiniz gibi, rakipleriniz de aynı şeyi yapıyor. Forumlara bağlanıyorlar, yeni yazılım araçlarını değerlendiriyorlar, potansiyel alıcılarla konuşuyorlar ve güvenlik yığınınızı alt etmenin yeni yollarını arıyorlar.

Dünyalarına bir göz atıldığında, özellikle imza tabanlı antivirüsler gibi eski çözümlerle karşı karşıya kaldıklarında, genellikle iyi finanse edilen güvenlik ekiplerini ve kurumsal güvenlik araçlarını geride bırakan gelişmiş yeteneklere sahip olduklarını gösterir. Birçok güvenlik operasyon merkezi (SOC), gerçek tehditlere öncelik vermekte başarısız olurken, gerçekte asla karşılamak için ölçekleyemeyecekleri diğerlerini çözmeye çalışarak zaman kaybeder.

Güvenlik savunucularının, kirli bir kül tablasından sigara dumanı tüterken, loş bir bodrum katında oturan kukuletalı yalnız figürün zihinsel görüntüsünün ötesine geçmesi gerekiyor. Bugün var olan siber suç dünyasının bir değerlendirmesini yapalım: stratejik, ticarileştirilmiş ve işbirlikçi (özellikle suçluların harcayacak paraları varsa).

Stratejik Niyet Her Saldırıyı Destekler

Düşmanların her zaman bir ticari amacı vardır; her kötü amaçlı yazılım parçası için bir plan var. Başlamak için, siber suçlular ortamınıza erişmek için etrafı gözetler, çalabilecekleri ve potansiyel olarak başka birine satabilecekleri bir şey ararlar. Bir saldırgan bilmeyebilirken kesinlikle ortamınıza eriştikten sonra yapmak istedikleri şeyi gördüklerinde değeri tanıma eğilimindedirler.

Bilinen CVE veritabanları ve ücretsiz açık bağlantı noktası tarayıcıları tarafından genellikle önemsiz bir şekilde kolaylaştırılan bir işlem olan, yanlış yapılandırmaları veya açıkta kalan bağlantı noktalarını arayarak keşif gerçekleştirebilirler. İlk uzlaşma, bir kullanıcının ortama erişmek için kimlik bilgilerinin çalınmasıyla da gerçekleştirilebilir; bu süreç, kilit varlıkları belirlemek için yatay olarak hareket etmeden önce bazen daha da kolay olabilir.

Siber Silah Kara Borsası Olgunlaşıyor

Siber suçlular sofistike bir yeraltı pazarı geliştirdi. Araçlar, görece ucuz ve düşük teknolojili ürünlerden hizmet olarak yazılım (SaaS) gibi yasal tüketicilere aşina iş modelleri aracılığıyla sunulan gelişmiş yeteneklere sahip ürünlere evrildi. Tehdit avcıları, bilgisayar korsanlığı araçlarının metalaşmasına tanık oluyor.

Kimlik avı kitleri, önceden paketlenmiş istismarlar ve web sitesi klonlama araçları eskiden çok yaygındı. Microsoft Office 365 veya Netflix gibi web sitesi oturum açma sayfalarını taklit etmek için tasarlanan bu araçlar, uzun yıllar boyunca kullanıcıların kimlik bilgilerini ele geçirmede oldukça etkiliydi.

Ancak son yirmi yılda, güvenlik topluluğu bu tür faaliyetlere kalıp tanıma, URL tarama ve paylaşılan tehdit istihbaratı gibi tekniklerle yanıt verdi. VirusTotal gibi araçlar, kötü amaçlı dosyaların keşfedilmesinin daha geniş güvenlik topluluğuyla neredeyse anında paylaşılmasını yaygın bir uygulama haline getirdi. Doğal olarak, rakipler bunun farkındadır ve uyum sağlamıştır.

Yeni Bir Kimlik Avı Metodolojisi

Günümüzün rakipleri, doğrulama sürecini ele geçirerek çok faktörlü kimlik doğrulamanın (MFA) yükselişinden yararlanmayı da öğrendiler.

EvilProxy adlı yeni bir kimlik avı kiti türü. Geçmişteki kitler gibi, kullanıcıları oturum açma kimlik bilgilerini vermeleri için kandırmak için web sitesi oturum açma sayfalarını taklit eder. Geçmişteki tek seferlik satın almalar olarak satılan kimlik avı kitlerinin aksine, bu yeni metodoloji – erişim gizliliği uzmanları tarafından satılır – satıcının kimlik avı kampanyaları yürütmek için kendi sunucusunda yer kiraladığı bir kiralama modeliyle çalışır.

Bir SaaS modeli gibi çalışan bir proxy sunucusu barındırırlar. Hizmet, 10 günlük erişim için yaklaşık 250 ABD Doları tutarındadır. Bu, SaaS sağlayıcılarının daha fazla para kazanmalarına ve daha sonra ürünlerini pazarlamak ve diğer satıcılara karşı rekabet etmek için bilgisayar korsanı forumlarında yayınlayabilecekleri istatistikleri toplamalarına olanak tanır.

Yeni kitler, kimlik avı ortamlarını beklenmedik ziyaretçilerden korumak için yerleşik korumalara sahiptir. Web tarayıcılarının sitelerini dizine eklemesini açıkça istemedikleri için, tarayıcıları engellemek için bot koruması, sanal makine (VM) aracılığıyla keşif yapan güvenlik operasyonları ekiplerini engellemek için incelikli sanallaştırma algılama teknolojisi ve güvenlik araştırmacılarının tarama yapmasını önlemek için otomasyon algılama kullanıyorlar. kit web siteleri farklı açılardan.

“Ortadaki Düşman” Senaryosu

MFA’yı atlama bağlamında, gerçek oturum açma sayfası içeriğine ters bir proxy gibi davranmak, tipik kimlik avı tespiti için büyük sorunlar yaratır. Ters proxy sunucusu, kullanıcı ve hedef web sitesi arasında oturarak, saldırganın MFA tamamlandıktan sonra ayarlanan kullanıcı adına, parolaya ve oturum tanımlama bilgisine erişmesine olanak tanır. Daha sonra oturumu bir tarayıcıda tekrar oynatabilir ve o hedefte kullanıcı olarak hareket edebilirler.

Kullanıcı için her şey normal görünüyor. Siber suçlular, URL’lerde küçük ad varyasyonları kullanarak sitenin tamamen yasal görünmesini sağlayabilir ve her şey olması gerektiği gibi çalışır. Bu arada, bu kullanıcı aracılığıyla yetkisiz erişim elde ettiler ve bu erişim daha sonra kendi amaçları için kullanılabilir veya en yüksek teklifi verene açık artırmayla satılabilir.

Düşmanın İş Modeli

Yeni kimlik avı metodolojilerine ek olarak, kötü amaçlı yazılımlar İnternette açık bir şekilde satılır ve yasal ile yasa dışı arasında gidip gelen bir tür gri alanda çalışır. Böyle bir örnek, yazılımı işletmeler için bir uzaktan gözetim aracı olarak pazarlayan BreakingSecurity.net’tir.

Her kötü amaçlı yazılımın, bir sonuç elde etmek için kendisiyle ilişkili bir fiyat noktası vardır. Ve bu sonuçların, ister kimlik bilgilerini çalmak, ister kripto para birimi oluşturmak, fidye talep etmek veya bir ağ altyapısını gözetlemek için casusluk yetenekleri kazanmak olsun, açık bir iş amacı vardır.

Günümüzde bu araçların yaratıcıları, ortaklık programları aracılığıyla alıcılarla ortaklık kuruyor. Çok seviyeli bir pazarlama planına benzer şekilde, aracın bağlı alıcısına “İçeri girdiğinde bana gel” derler. Hatta karı paylaşma karşılığında ürün garantileri ve 7/24 araç desteği sunuyorlar. Bu, ölçeklendirmelerine ve bir hiyerarşi oluşturmalarına olanak tanır. Diğer siber suçlu girişimci türleri, önceden var olan tavizleri en yüksek teklifi verene satar. Oyunda birden fazla iş modeli var.

Bugünün Gerçeği: Gelişmiş Bulut Korumalı Alanı Örneği

Güvenlik ekipleri, günümüzün düşmanlarının ne yaptığını ve eylemlerinin ne kadar çabuk gerçekleşebileceğini anlamalıdır. Piyasadaki gelişmiş kötü amaçlı yazılımlar artık kimlik avından bile daha şiddetli. Filtrelerden, fidye yazılımlarından, bilgi hırsızlarından, uzaktan erişim truva atlarından (RAT’ler) veya araç setlerini birleştiren istismar sonrası araçlardan kaçan Maldocs olsun, tehdit aktörleri ve iş modelleri her zamankinden daha gelişmiş durumda.

Standart korumalı alanlara dayalı karşı önlemler, satır içi önleme yolunda pek bir şey sağlamaz. Bulut ve yapay zekayı birleştiren algılama, en gizli tehditleri satır içi, gerçek zamanlı ve geniş ölçekte durdurabilir.

Rakiplerle gelişmiyorsanız, geride kalıyorsunuz. Çünkü günümüzün siber suçluları da sizin kadar profesyonel ve işlerinin başında.

Devamını oku İş Ortağı Perspektifleri Zscaler’dan.



siber-1