Ağ güvenliği ve zekası, çok faktörlü kimlik doğrulama (MFA), gelişmiş uç nokta koruması ve güvenli Wi-Fi alanlarında dünya lideri olan WatchGuard® Technologies, 2021 yılının ilk çeyreğine ilişkin İnternet Güvenlik Raporu’nu yayınladı. Kayda değer bulgular arasında; geçen çeyrekte tespit edilen tehditlerin %74'ünün sıfır gün kötü amaçlı yazılımları olduğu, imza tabanlı bir virüsten koruma çözümünün kötü amaçlı yazılım süreci sırasında tehditleri tespit edemediği ve geleneksel virüsten koruma çözümlerinin atlatılabildiği yer alıyor. Rapor ayrıca; artan ağ saldırı oranlarına, saldırganların eski açıkları nasıl gizlemeye ve yeniden amaçlamaya çalıştığına, çeyreğin en yaygın kötü amaçlı yazılım saldırılarına ve daha fazlasına ilişkin yeni tehdit istihbaratını içeriyor.
“Saldırılar Artıyor! Şirketlerin ise Güçlü Bir Güvenlik Stratejisi Benimsemesi Gerekiyor”
“Son çeyrek, şimdiye kadar kaydettiğimiz en yüksek sıfır gün kötü amaçlı yazılım algılama seviyesini gördü. Gelişmiş kötü amaçlı yazılım oranları, geleneksel tehditlerin oranlarını gölgede bıraktı. Bu durum, kuruluşların giderek daha karmaşık hale gelen tehdit aktörlerinin önüne geçmek için savunmalarını geliştirmeleri gerektiğinin bir başka işaretidir." ifadelerine yer veren WatchGuard Baş Güvenlik Sorumlusu Corey Nachreiner, "Geleneksel kötü amaçlı yazılımdan koruma çözümleri tek başına, günümüzün tehdit ortamı için tek kelimeyle yetersizdir. Her kuruluşun yeni, gelişmiş tehditleri tespit etmek ve engellemek için makine öğrenimi ile davranış analizi içeren katmanlı, proaktif bir güvenlik stratejisine ihtiyacı vardır." dedi.
2021’in 1. Çeyreğinde Dikkat Çeken Gelişmeler
WatchGuard'ın 2021 1. Çeyrek İnternet Güvenlik Raporu’nda yer alan önemli bulgular şu şekilde:
1. Dosyasız kötü amaçlı yazılım varyantının popülaritesi artıyor. XML.JSLoader hacim olarak Watchguard'ın, hem en sık karşılaşılan kötü amaçlı yazılımlarında hem de en yaygın kötü amaçlı yazılım algılama listelerinde ilk kez ortaya çıkan kötü amaçlı bir yük ve HTTPS incelemesi yoluyla 1. çeyrekte en çok tespit edilen varyant olarak tanımlandı. WatchGuard’ın tanımladığı örnek, yerel PowerShell yürütme ilkesini atlamak için komutları çalıştırmak üzere bir kabuk açan XML harici bir varlık (XXE) saldırısı kullanılıyor ve gerçek kullanıcıdan ya da kurbandan gizlenerek etkileşimsiz bir şekilde çalışıyor. Bu durum ise dosyasız kötü amaçlı yazılımların artan yaygınlığının, gelişmiş uç nokta algılama ve yanıt yeteneklerine duyulan ihtiyacın bir başka örneğini oluşturuyor.
2. Basit dosya adı hilesi bilgisayar korsanlarının fidye yazılımı yükleyicisini, meşru PDF ekleri olarak iletmesine yardımcı oluyor. Fidye yazılım yükleyicisi Zmutzy, ilk çeyrekte hacimce en yaygın iki şifreli kötü amaçlı yazılım türü olarak ortaya çıktı. Özellikle Nibiru fidye yazılımıyla ilişkili olarak kurbanlar bu tehditle, bir e-postaya sıkıştırılmış dosya eki veya kötü amaçlı bir web sitesinden indirme yoluyla karşılaşırlar. Zip dosyasını çalıştırmak, kurbanın meşru bir PDF gibi görünen bir yürütülebilir dosyayı indirmesine neden olur. Saldırganlar, kötü amaçlı zip dosyasını PDF olarak iletmek için dosya adında nokta yerine virgül ve manuel olarak ayarlanmış bir simge kullanırlar. Bu tür bir saldırı, bunun gibi bir varyantın bir fidye yazılımı bulaşmasına neden olması durumunda, kimlik avı eğitiminin ve öğretiminin yanı sıra yedekleme çözümlerinin uygulanmasının önemini vurgulamaktadır.
3. Tehdit aktörleri IoT cihazlarına saldırmaya devam ediyor. Linux.Ngioweb.B varyantı, son çeyrekte WatchGuard'ın en yaygın 10 kötü amaçlı yazılım listesinde yer almasa da yakın zamanda IoT cihazlarını hedeflemek için siber saldırganlar tarafından kullanıldı. Bu örneğin ilk sürümü, WordPress çalıştıran ve başlangıçta genişletilmiş bir biçim dili (EFL) dosyası olarak gelen Linux sunucularını hedef aldı. Bu kötü amaçlı yazılımın başka bir sürümü ise IoT cihazlarını dönen komut ve kontrol sunucularıyla bir botnete dönüştürmektedir.
4. Ağ saldırıları %20'den fazla arttı. WatchGuard cihazları, önceki çeyreğe göre %21 artış gösteren ve 2018'in başından bu yana en yüksek hacme ulaşan 4 milyondan fazla ağ saldırısı tespit etti. Kurumsal sunucular ve sahadaki varlıklar, uzaktan ve hibrit çalışmaya geçişe rağmen saldırganlar için hala yüksek değerli hedefleri oluşturuyor. Bu nedenle, kuruluşların kullanıcı odaklı korumaların yanı sıra çevre güvenliğini de sağlamaları gerekiyor.
5. Eski bir dizin atlama saldırı tekniği geri dönüyor. 1. çeyrekte WatchGuard, kayıpsız veri sıkıştırması ve gömülü dijital sertifikalar için Microsoft tarafından tasarlanmış bir arşiv formatı olan kabine dosyaları (CAB) aracılığıyla bir dizin atlama saldırısı içeren yeni bir tehdit imzası tespit etti. WatchGuard'ın en yaygın 10 ağ saldırısı listesine yeni bir ek olan bu istismar, geleneksel teknikleri kullanarak kullanıcıları kötü amaçlı bir CAB dosyası açmaya yönlendirmekte ya da güvenliği ihlal edilmiş bir CAB dosyası aracılığıyla bir yazıcı sürücüsü yüklemeyi sağlamak için ağa bağlı bir yazıcıyı yanıltarak kandırmaktadır.
6. HAFNIUM sıfır gün, tehdit taktikleri ve en iyi müdahale uygulamaları hakkında dersler veriyor. Geçen çeyrekte Microsoft, çoğu e-posta sunucusunda olduğu gibi rakiplerin İnternet’e maruz kalan herhangi bir yama uygulanmamış sunucuya tam, kimliği doğrulanmamış sistemde uzaktan kod yürütme ve rastgele dosya yazma erişimi elde etmek için çeşitli Exchange Sunucusu sürümlerinde dört HAFNIUM güvenlik açığını kullandığını bildirdi. WatchGuard olay analizi; HTTPS denetiminin, eski sistemlerin zamanında yamalanmasının ve değiştirilmesinin önemini vurguluyor.
7. Saldırganlar kripto madenciliği kampanyalarında meşru alan adlarını tercih ediyor. İlk çeyrekte WatchGuard DNSWatch hizmeti, kripto madenciliği tehditleriyle ilişkili birkaç güvenliği ihlal edilmiş ve tamamen kötü niyetli alan adlarını engelledi. İzinsiz kripto madenciliği yapan kötü amaçlı yazılımlar, kripto para piyasasındaki son fiyat artışları ve tehdit aktörlerinin şüpheli olmayan kurbanlardan kaynak sömürebilmesi kolaylığı nedeniyle giderek daha popüler hale geldi.
WatchGuard’ın üç aylık araştırma raporundaki bulgular, WatchGuard Threat Lab’ın araştırma çabalarını desteklemek için verileri paylaşmayı seçen aktif WatchGuard cihazlarından alınan anonim Firebox Feed verilerine dayanmaktadır. WatchGuard 1. çeyrekte, toplam 17,2 milyondan fazla kötü amaçlı yazılım varyantını (cihaz başına 461) ve yaklaşık 4,2 milyon ağ tehdidini (cihaz başına 113) engelledi. Raporun tamamı; 2021 yılının ilk çeyreğine ait ek kötü amaçlı yazılımlar ve ağ eğilimleri hakkında ayrıntıları, HAFNIUM Microsoft Exchange Server açıklarının ayrıntılı bir analizini, okuyucular için kritik savunma ipuçlarını ve daha fazlasını içeriyor.
YORUMLAR