Kötü niyetli etkinlikleri gizlemek için yerel uygulamaları ve süreçleri kullanan kötü amaçlı yazılım olarak başlayan şey, arazide yaşayan (LotL) saldırılar yıllar içinde gelişti. LotL kimlik avı, saldırganların meşru bir üçüncü taraf hizmetine sızmak (güveni kötüye kullanmak için) ve kötü amaçlı etkinlikleri maskelemek ve yürütmek için araçlarını kullanmaları için giderek daha popüler bir yöntem haline geldi. Hedeflenen hizmetler sıklıkla meşru amaçlarla kullanıldığından çoğu durumda doğrudan engellenemez ve son kullanıcılar tarafından tespit edilmesi zordur.
Yalnızca bu yıl, QuickBooks ve Adobe gibi her yerde bulunan markalar, akıllı LotL kimlik avı saldırılarında bir kez daha kullanıldı. Qakbot dağıtımcıları, sohbet ele geçirme saldırılarından (CHA’lar) ve önceki e-posta dizilerinin ima ettiği güvenden yararlanan yeni kampanyalarla saldırıya geçiyordu. Öncelikle kabuk kodunu ve kötü amaçlı yazılımları (örneğin, fidye yazılımı ve Truva atları) dağıtmak için kullanılan bir kötü amaçlı yazılım indiricisi olan GuLoader’ın alternatif bir versiyonunun da vahşi doğada kullanıldığı gözlemlendi.
LotL Kimlik Avı Saldırıları Nasıl Çalışır?
LotL kimlik avı saldırısının ilk hedefi, tehdit aktörlerinin kullanıcının e-posta adresini ve şifresini çalacağı bir kimlik bilgisi toplama sayfasıdır. Oturum açtıktan sonra kuruluş içinde keşif yaparlar (iş e-postası gizliliği ihlali saldırısı gerçekleştirme fırsatlarını bulmak için o kişinin gelen kutusunu incelemek de dahil). Örneğin, hedef finans sektöründeyse tehdit aktörü bir banka havalesi başlatabilir veya faturalama trafiğini yeniden yönlendirebilir. Hedefin değeri yüksek değilse, tehdit aktörleri bir CHA yürütmek veya gelen kutusundaki meşru konuşmalara yanıt vererek kötü amaçlı yazılım dağıtmak için o kullanıcının bağlantılarına saldıracak ve saldıracaktır.
LotL kimlik avı saldırıları giderek daha karmaşık hale geldi. Bir örnek, güvenliği ihlal edilmiş bir nhs’den kaynaklandı[.]net Microsoft hesabı, İngiltere ve İskoçya’daki Ulusal Sağlık Hizmeti (NHS) çalışanlarına yönelik e-posta sistemi. Tema, “ShareFile Team 2023″ten kaynaklanan bir Microsoft “güvenli faks pdf’siydi”. Saldırıya uğramış (veya güvenliği ihlal edilmiş) bir Microsoft hesabından gönderildiğinden, orijinal olarak Microsoft temalıydı (e-postada Microsoft logosunu ve URL’sini içeriyordu ve bir Microsoft etki alanından geliyordu). Bu, LotL kimlik avı saldırılarında giderek daha yaygın hale gelen bir şey olan, her şeyi bir arada tutmanın harika bir örneğidir.
Oyunu Geliştirmek
Tipik LotL kimlik avı saldırıları, e-postanın gövdesinde bir şirketin logosunu veya adını içerebilir ancak NHS “Microsoft” vakasında olduğu gibi orijinal bir temaya sahip değildir. Bu tam marka kimliğine bürünmeyle tehdit aktörleri oyunlarını bir üst seviyeye taşıdı. Meşru bir ticari hizmetin itibarından ve insanların bu hizmet alanına olan güveninden yararlanarak, tanımlanmasını ve engellenmesini son derece zorlaştırıyorlar.
Son kullanıcı açısından bakıldığında meşru bir Microsoft grafiği ve bağlantısına kanmak kolaydır. Ayrıca çalışanların, kötü URL’leri filtreleyecek sistem ve süreçlere doğuştan güven duyduklarını da belirtmeden geçemeyeceğiz. Ancak Microsoft temalı saldırı gibi muazzam miktarda trafiğin bu meşru etki alanını geçerli kullanım için kullandığı durumlarda, meşru site genellikle bir tehdit oluşturmadığından güvenlik ve tehdit ekipleri zor bir zorlukla karşı karşıya kalır.
Meşru yüksek kullanımlı etki alanlarını engellemek mantıklı olmasa da, hassas bilgilere erişimi yalnızca bu bilgilere ihtiyacı olanlarla sınırlamak, bir tehdit aktörünün başarılı bir şekilde erişim sağlaması durumunda saldırı yüzeyini en aza indirir. Ancak bu eylem, tehdit aktörlerinin sisteme kötü amaçlı yazılım yerleştirmesini veya ağ erişimi elde etmesini engellemez. Son kullanıcı eğitimi bir dereceye kadar yardımcı olabilir, ancak bunun gibi tutarlı bir saldırıda, yalnızca bir e-postaya bakmak ve bir URL’nin meşru bir hizmete gidip gitmediğine bakmak yeterli değildir.
Katmanlı Savunma
Kullanıcılar gördüklerine her zaman güvenemeyecekleri için onlara e-postanın içeriğine de bakmaları öğretilmelidir. Bu, e-posta almalarının nedenini ve meşru bir nedeni olup olmadığını düşünmek anlamına gelir. Herhangi bir tereddüt veya soru varsa, gönderen kişiye telefonla ulaşmaya teşvik edin. Güvenlik ekipleri arasında, herkesin alınan her e-postayı analiz etmek için zaman ayırmasını beklemenin gerçekçi olmadığı konusunda da farkındalık olmalıdır. Ek güvenlik katmanları eklemek, siber dayanıklılığa ulaşmanın anahtarıdır. Buna, çalışan eğitiminin, tehdit istihbaratıyla sürekli güncellenen güvenlik çözümleriyle desteklenmesi de dahildir.
Katmanlı bir güvenlik yaklaşımı, kötü amaçlı e-postaların ve eklerin tespit edilmesini, engellenmesini ve filtrelenmesini içermelidir. E-posta filtreleri şüpheli iletileri tanıyabilir ve karantinaya alabilir. Yapay zeka ve makine öğrenimi ile sürekli güncellenen güvenlik çözümleri, kimlik avını gerçek e-postalardan ayırt etmelerine ve herhangi bir kötü amaçlı içeriğin çalışanın gelen kutusuna ulaşmasını önlemelerine olanak tanıyor.
Gerçek zamanlı tehdit istihbaratını içeren çok katmanlı bir koruma yaklaşımı, bir kuruluşun güvenlik duruşunu güçlendirir. Daha da fazla koruma için uç nokta koruması ve DNS koruması ekleyin. Ne kadar çok katman olursa, bir tehdit aktörünün başarılı olma olasılığı o kadar azalır. Ve eğer her şey başarısız olursa, yedekleme ve kurtarma çözümleri, işletmeleri en az kesintiyle hızlı bir şekilde çalışır duruma getirmek için çok önemlidir.
