HP, bugün üçüncü çeyrek HP Wolf Güvenlik Tehdit Öngörüleri Raporu’nu yayınladı; ZIP ve RAR evrakları üzere arşiv belge biçimlerinin makûs maksatlı yazılımları yaymak için en çok kullanılan belge tipi olduğunu ve üç yıl sonra birinci kere Office evraklarını geçtiğini ortaya koydu. Gerçek dünyadaki siber akınların tahlilini sunan rapor, süratle değişen siber hata ortamında siber hatalıların tespit edilmemek ve kullanıcılara ziyan vermek için kullandıkları en son tekniklere dikkat çekerek kurumlara yardımcı oluyor.
HP Wolf Security çalıştıran milyonlarca uç noktadan elde edilen bilgilere dayanan araştırma, ziyanlı yazılımların yüzde 44’ünün arşiv evraklarının içinden gönderildiğini ortaya koydu. Rapora nazaran Microsoft Word, Excel ve PowerPoint üzere Office evrakları aracılığıyla ziyanlı yazılım yayma oranı olan yüzde 32’ye kıyasla, arşiv evraklarının ulaştığı yüzde 44 oranı, bir evvelki çeyreğe nazaran yüzde 11’lik bir artışa da işaret ediyor.
Rapor, arşiv belgelerinin kullanımını yeni HTML kaçakçılığı teknikleriyle (siber hatalıların e-posta ağ geçitlerini atlamak için ziyanlı arşiv evraklarını HTML evraklarına yerleştirme teknikleri ile) birleştiren ve akabinde atak başlatan birkaç akın tespit etti.
Örneğin, son QakBot ve IceID atakları, kullanıcıları Adobe üzere görünen uydurma çevrimiçi doküman görüntüleyicilere yönlendirmek için HTML evraklarını kullandı. Kullanıcılara daha sonra bir ZIP belgesi açmaları ve belgeleri açmak için bir parola girmeleri talimatı verildi ve bu parolayla bilgisayarlarına berbat emelli yazılım yerleştirildi.
Özgün HTML evrakı içindeki ziyanlı yazılım kodlanmış ve şifrelenmiş olduğundan, e-posta ağ geçidi yahut başka güvenlik araçları tarafından tespit edilmesi çok zorlaşıyor. Saldırganlar toplumsal mühendisliğe güveniyor ve insanları kandırarak berbat gayeli ZIP belgesini açması için ikna edici ve yeterli tasarlanmış bir web sayfası oluşturuyor. Ekim ayında da tıpkı saldırganların geçersiz Google Drive sayfaları kullanarak kullanıcıları ziyanlı ZIP evraklarını açmaları için kandırmaya çalıştıkları tespit edilmişti.
HP ayrıyeten, saldırganların atağın tam ortasında silahlarını (casus yazılım, fidye yazılımı, keylogger gibi) değiştirmesine yahut geo-fencing (coğrafi bir bölge etrafındaki sanal sınır) üzere yeni özellikler sunmasına imkan tanıyan ve modüler bir bulaşma zinciri kullanan karmaşık bir atak tespit etti. Yani, saldırgan, ihlal ettiği amaca bağlı olarak taktiklerini değiştirebiliyor. Makus maksatlı yazılımın direkt maksada gönderilen eke dahil edilmemesi, e-posta ağ geçitlerinin bu tıp taarruzları tespit etmesini de zorlaştırıyor.
HP Wolf Security, kullanıcıları korumak için e-posta eklerini açma, evrak indirme ve temaslara tıklama üzere riskli adımları yalıtılmış, mikro sanal makinelere (mikro VM’ler) alıyor ve virüs bulaşma teşebbüslerinin detaylı izlerini yakalıyor. HP’nin uygulama izolasyonu teknolojisi, öteki güvenlik araçlarını atlatabilen tehditleri azaltırken yeni müsaadesiz giriş teknikleri ve tehdit aktörlerinin davranışları hakkında eşsiz bilgiler sağlıyor. HP Wolf Security, algılama araçlarını atlatan tehditleri izole ederek, siber hatalılar tarafından kullanılan en son teknikler hakkında özel bilgiler topluyor. HP müşterileri bugüne kadar 18 milyardan fazla e-posta ekine, web sayfasına tıkladı ve hiçbir ihlal bildirilmeden belge indirdi.