Oyuncuların 20 yıl kadar önce kullanıcıları kötü niyetli dosyaları çalıştırmaları için kandırmak için kullandıkları tehdit tekniği geri dönüş yapıyor gibi görünüyor.
Güvenlik satıcısı Vade Salı günü, araştırmacılarının Microsoft 365 kullanıcılarını hedefleyen bir kimlik avı kampanyasında, sağdan sola geçersiz kılma (RLO) adı verilen yöntemi kullanarak son iki hafta içinde 400’den fazla saldırı tespit ettiğini söyledi. Vade, VirusTotal’daki 58 kötü amaçlı yazılım tespit aracından sadece ikisinin tehdidi tespit edebildiğini söyledi.
Bir RLO saldırısında, düşmanlar belirli bir yazdırılmayan Unicode karakterinden yararlanır. [U+202e], uzantıları gizlemek için kullanıcıların kötü niyetli dosyaları çalıştırmaları için kandırılabilmeleri için. U+202e, belirli bir kelimeden veya metin parçasından önce kullanıldığında, İbranice ve Arapça dilleri desteklemek için gerektiği gibi, sonraki tüm metni sağdan sola görüntülenecek şekilde değiştiren bir RLO Unicode karakteridir. Örneğin, karakter “Vade” kelimesinden önce kullanıldığında metin “edaV” olarak görüntülenecektir.
Geçmişte, saldırganlar yürütülebilir dosyaları gizlemek için Unicode karakterinden yararlanırdı. Vade, saldırganların U+202e’yi örneğin “abctxt.exe” gibi yürütülebilir bir dosyada nasıl kullanacaklarına işaret etti, böylece daha iyi huylu görünen “abcexe.txt” olarak görünecekti. Bunu başarmak için, dedi Vadedüşmanın yalnızca U+202e’yi dizeye şu şekilde eklemesi gerekir: “abc [U+202e] txt.exe”
Yıllar geçtikçe, tespit mekanizmaları geliştikçe saldırganın tekniğe olan ilgisi azaldı. Ancak son aylarda bazı rakipler bu tekniği yeniden kullanmaya başladı. Geçen Ağustos ayında, Sağlık Bilgi Paylaşım ve Analiz Merkezi (H-ISAC) bir bildiri yayınladı. sağdan sola geçersiz kılmayı kullanan tehdit aktörleri hakkında tavsiye niteliğinde uyarı kötü niyetli dosyaları gizleyen ve sağlık sektöründeki kuruluşlara ait sistemlerde Cobalt Strike araç setini sağlayan karakter.
Vade’in kurucu ortağı ve teknoloji ve ürün sorumlusu Adrien Gendre, “Bugünün ortamlarına uyum sağlamak için eski teknikleri değiştirmek ve geliştirmek, her zaman yeni yollar arayan saldırganlar arasında yaygındır” diyor.
Güvenlik sağlayıcısının yakın zamanda gözlemlediği kampanyada, düşmanlar, e-posta alıcılarını bir ses dosyasını açtıklarına inandırmak için kandırmaya çalışmak için RLO tekniğini kullandılar, ancak dosyaya tıkladıklarında aslında onları bir kimlik bilgisi avlama sitesine götürdüler.
Saldırganlar, dolandırıcılık için Microsoft 365 kullanıcılarına, onları ekli bir sesli posta dosyasına erişmeye davet eden bir e-posta bildirimi gönderdi. E-posta konusu, alıcının gerçek adını içeriyordu ve e-postanın tarih ve saat gibi diğer özellikleri de orijinal görünüyordu. Ekli dosya da bir “.mp3” veya bir “.wav” dosya uzantısıyla sona erdi; bu, bir kullanıcının normalde bir ses dosyasından beklediği şeydir. Ancak, üzerine tıklamak, kullanıcıyı yalnızca, kullanıcının parolasını girmesini sağlamaya çalışan görünür bir Microsoft oturum açma sayfasına yönlendirecektir.
Gendre, “90’larda ve 2000’lerin başında popüler olan önceki saldırılar, yürütülebilir kötü amaçlı yazılım dosyalarını gizlemek için RLO sahtekarlığını kullandı” diyor. “Son RLO kampanyası, bir kimlik avı sayfasına bağlantı içeren bir html dosyasını, kullanıcının sesli posta mesajı olduğuna inandığı bir MP3 dosyası olarak gizlemek için bu tekniği kullanıyor.”
IP ve etki alanı itibarlarını ve bilinen kötü amaçlı yazılım imzalarını taramak üzere tasarlandıkları için çok az güvenlik aracı dolandırıcılığı tespit edebildi. “[With] Son saldırılar, ekler bilinen kötü amaçlı yazılım kodunu içermiyor, ancak html dosyasındaki bir kimlik avı sayfası açma talimatlarını içeriyor” diye belirtiyor.
Ufukta Daha Fazla Sorun mu Var?
Vade’in raporu başka birine işaret ediyor Cambridge Üniversitesi’ndeki araştırmacıların Unicode spesifikasyonunda keşfettikleri bir güvenlik açığı hakkında geçen Kasım ayında yayınlandı (CVE-2021-42574) saldırganlara geliştirme aşamasında kötü amaçlı kodu gizleme ve yazılıma ekleme yolu sağlar. Güvenlik açığı, saldırganların RLO (U+202e) karakteri de dahil olmak üzere belirli Unicode karakterlerini kullanmalarına, temel olarak görsel ve anlamsal doğruluğu korurken mantığını değiştirecek kodu yeniden sıralamalarına olanak tanır. İki Cambridge Üniversitesi araştırmacısı, “Düşmanlar, güvenlik açıklarını insan gözden geçirenler tarafından görülmeyecek kodlara dönüştürmek için bu aldatmacadan yararlanabilirler” diye yazdı.
Gendre, “Kaynak koduna erişimi olan bir geliştirici, kaynak kodunu bu teknikle kodlayabilir” diyor. “Ayrıca, SolarWinds saldırısında gördüğümüz gibi, bir ihlal yoluyla organizasyonun dışından gelebilir.”
Araştırmacıların keşfettiği Unicode spesifikasyonundaki bir başka güvenlik açığı (CVE-2021-42694) saldırganlara, yazılım geliştirme sırasında görsel olarak tespit edilmesi neredeyse imkansız olan kötü amaçlı kod enjekte etmek için birbirine yakın görünen karakterleri (veya homoglifleri) kullanmanın bir yolunu sunar.
Gendre, kuruluşların bu güvenlik açıklarından kaynaklanan riski azaltabilmelerinin bir yolunun derleyicilerde ve dil belirtimlerinde metin yönlülüğünü yasaklamak olduğunu belirtiyor.
