WatchGuard, İnternet Güvenliği Raporu Q3'te (ISR) ticari Ortadaki Düşman saldırılarını, JavaScript tabanlı istismar kitlerini ve Gotik Panda ile ilgili kötü amaçlı yazılımları analiz eder. En büyük tehditler yalnızca HTTPS şifreli bağlantılar üzerinden gönderilmiştir.
Yıl sonundan hemen önce, WatchGuard Technologies en son İnternet Güvenlik Raporunu (ISR) yayınladı. Burada, en önemli kötü amaçlı yazılım eğilimlerinin yanı sıra ağlar ve uç noktalar üzerindeki güncel ilgili saldırı yöntemleri her zamanki gibi ayrıntılı olarak açıklanmaktadır. WatchGuard Threat Lab araştırmacılarının bulguları, 2022'nin üçüncü çeyreği için en önemli kötü amaçlı yazılım tehdidinin yalnızca şifreli bağlantılar üzerinden gönderildiğini gösteriyor.
Saldırganlar HTTPS'den yararlanır
ICS ve SCADA sistemlerine yönelik saldırılar da arttı. Minecraft hile motorunda kötü amaçlı bir yük keşfedildiğinden bilgisayar oyuncuları da risk altındadır. ISR ayrıca çeşitli diğer bilgileri ve mevcut tehdit durumuna ilişkin örnekleri içerir.
"HTTPS bağlantılarını denetlemenin önemini yeterince vurgulayamayız: Kuruluşlar, bazı ayarlamalar ve istisna kuralları gerektirse bile, uygun güvenlik özelliğini kesinlikle etkinleştirmelidir. Çünkü kötü amaçlı yazılımların çoğu şifreli HTTPS yoluyla gelir. WatchGuard Technologies'in baş güvenlik sorumlusu Corey Nachreiner, "Bu saldırı vektörü kontrolsüz bırakılırsa, her türden tehdit sonuna kadar açıktır" dedi. “Exchange sunucularına veya SCADA yönetim sistemlerine de daha fazla dikkat edilmelidir. Bunlar için bir yama çıkar çıkmaz bu güncellemeyi hemen uygulamak ve uygulamayı güncellemek önemlidir. Saldırganlar, güvenlik açıklarını henüz düzeltmemiş herhangi bir şirketten yararlanır.”
3. Çeyrek İnternet Güvenliği Raporundan Temel Bulgular
İnternet Güvenliği Raporu Q3 -ISR'nin Bulguları (Resim: WatchGuard).
Kötü amaçlı yazılımların büyük çoğunluğu şifreli bağlantılardan gelir
Agent.IIQ kötü amaçlı yazılımı, Temmuz-Eylül 2022 dönemi için normal ilk 10 kötü amaçlı yazılım listesinde üçüncü sırada yer alsa da, şifrelenmiş kötü amaçlı yazılım dizisinde 1 numara oldu. Çünkü tüm Agent.IIQ tespitleri HTTPS bağlantılarında bulundu. Analizlerin gösterdiği gibi, tüm kötü amaçlı yazılımların yüzde 82'si güvenli bağlantılardan geldi, ancak yalnızca yüzde 18'i şifrelenmemiş. Firebox'ta HTTPS trafiği denetlenmezse, kötü amaçlı yazılımın büyük bir bölümünün tespit edilmeme olasılığı yüksektir. Bu durumda şirketler, etkili uç nokta korumasının, en azından sözde siber öldürme zincirinde başka bir yerde kötü amaçlı yazılımı yakalama şansına sahip olmak için uygulandığını umabilir.
ICS ve SCADA sistemleri, saldırılar için popüler hedefler olmaya devam ediyor
2022'nin üçüncü çeyreğinde en yaygın on ağ saldırısı listesinde bir yenilik, aynı anda birkaç sağlayıcıyı vuran SQL enjeksiyonu türü bir saldırıdır. Böyle bir şirket, WebAccess portalı çeşitli kritik altyapılardaki SCADA sistemlerine erişim sağlayan Advantech'tir. Üçüncü çeyrekte, aynı zamanda ilk 5 ağ tehdidi arasında yer alan bir başka büyük saldırı, Schneider Electric'in U.motion Builder yazılımı, sürüm 1.2.1 ve önceki sürümlerini etkiledi. Bu, saldırganların hala mümkün olan her yerde sistemlerin güvenliğini aşmaya çalıştıklarının açık bir göstergesidir.
Exchange sunucularındaki güvenlik açıkları risk oluşturmaya devam ediyor
Tehdit Laboratuvarı tarafından keşfedilen en son CVE güvenlik açığı (CVE-2021-26855), şirket içi sunucularda Microsoft Exchange Server Uzaktan Kod Yürütmeyi (RCE) etkiler. 9,8 CVE puanı alan bu RCE güvenlik açığından yararlanıldığı biliniyor. HAFNIUM grubu tarafından istismar edilen bir güvenlik açığı olduğu için, bu güvenlik açığının tarihi ve önem derecesi de dikkati üzerine çekmenizi sağlar. Etkilenen Exchange sunucularının çoğu şimdiye kadar yamalanmış olsa da, bazıları hala savunmasız ve risk altında.
Özgür yazılım kullanıcılarını hedefleyen tehdit aktörleri
İnternet Güvenliği Raporu Q3 -ISR'nin diğer bulguları (Resim: WatchGuard).
Fugrafa Truva Atı, kötü amaçlı kod enjekte eden kötü amaçlı yazılım indirir. 3'nin 2022. çeyreğinde WatchGuard analistleri, popüler Minecraft oyunu için hile motorunda bulunan bir değişkeni araştırdı. Esas olarak Discord'da paylaşılan dosya, Minecraft Cheat Engine Vape V4 Beta gibi görünüyor - ancak içerdiği tek şey bu değil. Agent.FZUW, Variant.Fugrafa ile bazı benzerlikler paylaşıyor, ancak bir hile motoru aracılığıyla yüklemek yerine, dosyanın kendisi kırık yazılım içeriyor gibi görünüyor. Özel durumda, Racoon Stealer ile bağlantılar da vardı: Bu, kripto para hizmetlerinden hesap bilgilerini çalmak için kullanılan bir kripto para birimi hackleme kampanyasıdır.
LemonDuck kötü amaçlı yazılımı artık bir kripto madencisinden daha fazlası
Engellenen veya izlenen kötü amaçlı yazılım alanlarının sayısı 2022'nin üçüncü çeyreğinde azalmış olsa da, şüphelenmeyen kullanıcıları hedef alan saldırıların sayısının yüksek kaldığını görmek kolaydır. En iyi kötü amaçlı yazılım etki alanları listesine üç yeni eklemeyle (ikisi eski LemonDuck kötü amaçlı yazılım alanlarına ait ve üçüncüsü Emotet olarak sınıflandırılmış bir etki alanının parçası) normalden daha fazla yeni kötü amaçlı yazılım sitesi vardı. Saldırganlar kullanıcıları kandırmak için yeni yollar aradıkça, bu eğilimin kripto para birimi manzarası söz konusu olduğunda yoğunlaşmaya devam etmesi bekleniyor. Etkili bir karşı önlem, DNS düzeyinde aktif korumadır. Bu, kullanıcıların sistemlerini izleyebilir ve bilgisayar korsanlarının şirkete kötü amaçlı yazılım veya diğer ciddi sorunları sokmasını önleyebilir.
İstismar kitlerinde JavaScript şaşırtması
İmza 1132518 - tarayıcılarda JavaScript gizleme saldırılarının bir göstergesi - en yaygın ağ saldırısı imzaları listesine eklenen tek yeni isimdi. JavaScript uzun süredir yaygın bir saldırı vektörü olmuştur ve siber suçlular, kötü amaçlı reklamcılık ve kimlik avı saldırıları da dahil olmak üzere sürekli olarak JavaScript tabanlı açıklardan yararlanma kitleri kullanmıştır. Tarayıcı savunmaları geliştikçe, saldırganlar kötü amaçlı JavaScript kodunu gizleme çabalarını artırıyor.
Standartlaştırılmış Ortadaki Düşman Saldırılarının Anatomisi
Çok faktörlü kimlik doğrulama (MFA), BT güvenliği sürecinde inkar edilemez derecede önemli bir önlemdir, ancak aynı zamanda her derde deva değildir. Ortadaki Düşman (AitM) saldırılarının hızla artması ve ticarileşmesi buna en iyi örnektir. Tehdit Laboratuvarı'nın araştırması, kötü niyetli aktörlerin giderek daha karmaşık hale gelen AitM tekniklerine nasıl geçtiğini gösteriyor. Giderek daha sık kullanılan bir hizmet olarak fidye yazılımına benzer şekilde, EvilProxy adlı AitM araç setinin Eylül 2022'de piyasaya sürülmesi, uygun şekilde karmaşık saldırılar için giriş engelini önemli ölçüde azalttı. Onlara karşı savunma yapmanın tek yolu, teknik araçların bir kombinasyonu ve kullanıcı farkındalığını artırmaktır.
Gotik Panda ile ilgili kötü amaçlı yazılım ailesi
Tehdit Laboratuvarı'nın 2022'nin ikinci çeyreğine ilişkin raporunda, dil, Çin Devlet Güvenlik Bakanlığı ile yakın bağları olan bir siber casusluk grubu olan Gotik Panda'ya düştü. İlginç bir şekilde, üçüncü çeyrekte şifrelenmiş kötü amaçlı yazılımların en üstteki listesi, yalnızca Gothic Panda tarafından geliştirilmeyen, aynı zamanda yalnızca ilgili Çin kökenli saldırganlar tarafından kullanılan Taidoor adlı bir kötü amaçlı yazılım ailesini içeriyor. İlgili kötü amaçlı yazılım bugüne kadar tipik olarak Japonya ve Tayvan'daki hedeflere odaklanmış olsa da, analiz edilen Generic.Taidoor örneğinin çoğunlukla Fransa'daki kuruluşları hedef aldığı bulundu - muhtemelen belirli, devlet destekli bir siber saldırının açık bir göstergesi.
Vahşi doğada yeni fidye yazılımı ve gaspçı gruplar
Baş Güvenlik Görevlisi (CSO), WatchGuard Technologies (Resim: WatchGuard).
WatchGuard Threat Lab artık fidye yazılımı girişimlerini tespit etmeye daha da fazla odaklanıyor. Bu amaçla, altta yatan tehdit istihbaratı seçenekleri özel olarak genişletildi. 2022'nin üçüncü çeyreğinde LockBit, 200'den fazla ilgili olayla listenin başında yer alıyor - Temmuz'dan Eylül 2022'ye kadar hakkında en çok konuşulan ikinci grup olan fidye yazılımı grubu Basta'dan neredeyse dört kat daha fazla.
WatchGuard'ın üç aylık araştırma raporları, sahipleri Tehdit Laboratuvarı araştırmasını doğrudan desteklemek için verileri paylaşmayı seçmiş olan aktif WatchGuard Firebox'lardan alınan kimliği belirsiz Firebox Feed verilerine dayanmaktadır. Üçüncü çeyrekte, WatchGuard toplamda 17,3 milyondan fazla kötü amaçlı yazılım çeşidini (cihaz başına 211) ve 2,3 milyondan fazla ağ tehdidini (cihaz başına 28) engelledi. Raporun tamamı, 3'nin üçüncü çeyreğine yönelik diğer kötü amaçlı yazılım ve ağ trendlerini, önerilen güvenlik stratejilerini, her boyuttan ve sektörden kuruluş için en iyi savunma ipuçlarını ve daha fazlasını ayrıntılarıyla anlatıyor.
Daha fazlası WatchGuard.com'da
WatchGuard Hakkında WatchGuard Technologies, BT güvenliği alanında lider sağlayıcılardan biridir. Kapsamlı ürün portföyü, son derece gelişmiş UTM (Birleşik Tehdit Yönetimi) ve yeni nesil güvenlik duvarı platformlarından çok faktörlü kimlik doğrulamaya ve kapsamlı WLAN koruması ve uç nokta korumasına yönelik teknolojilerin yanı sıra BT güvenliği ile ilgili diğer özel ürünler ve akıllı hizmetlere kadar uzanır. Dünya çapında 250.000'den fazla müşteri, kurumsal düzeyde gelişmiş koruma mekanizmalarına güveniyor,