Ağ güvenliği ve zekası, güvenli Wi-Fi ve çok faktörlü kimlik doğrulamanın önde gelen küresel sağlayıcısı WatchGuard’ın 2020 2. Çeyrek İnternet Güvenliği Raporu yayımlandı. Yeni rapor, artan sıfır gün kötü amaçlı yazılım çeşitleri, JavaScript kötü amaçlı yazılım saldırıları ve Microsoft Excel tabanlı tehditlerden dolayı katmanlı güvenliğin önemini vurguluyor.

WatchGuard, 2020 yılının ikinci çeyreğine ilişkin İnternet Güvenlik Raporu’nun yayımlandığını duyurdu. İkinci çeyrekte bilinen kötü amaçlı yazılım tespitlerinde yaşanan %8'lik bir düşüşe rağmen, tüm saldırıların %70'inin sıfır gün kötü amaçlı yazılım içerdiğine dikkat çeken WatchGuard, önceki çeyreğe göre gelişmiş tehditlerde %12 artışın görüldüğünü raporladı.

Covid-19’a Sadece Şirketler Değil, Siber Suçlular da Uyum Sağladı!

"Küresel COVID-19 salgını nedeniyle operasyonlarını düzenleyenler arasında sadece şirketler değil, siber suçlular da var." ifadelerini kullanan WatchGuard CTO'su Corey Nachreiner, "Bilinen kötü amaçlı yazılım tespitlerinin 2. çeyrekte azalmasına rağmen, uzaktan çalışmaya geçiş nedeniyle, bilinen gelişmiş saldırılardaki artış, saldırganların geleneksel imza tabanlı kötü amaçlı yazılımlardan koruyan güvenlik savunmalarının yakalayamayacağı daha gelişmiş taktiklere yöneldiğini gösteriyor. Her şirket hem temel ağı hem de uzak iş güçlerini korumak için davranış tabanlı tehdit algılamaya, bulut tabanlı sandbox’a ve katmanlı güvenlik hizmetlerine öncelik vermelidir." açıklamalarında bulundu.

İkinci Çeyrekte Dikkat Çekenler

Güncel kötü amaçlı yazılım ve ağ saldırısı eğilimlerine, derinlemesine tehdit araştırmasına ve kuruluşların kendilerini, iş ortaklarını ve müşterilerini daha iyi korumak için yararlanabilecekleri önerilen en iyi güvenlik uygulamalarına ayrıntılı bir bakış sağlayan WatchGuard 2020 2. Çeyrek İnternet Güvenliği Raporu’ndan elde edilen temel bulgular şöyle:

1. Saldırganlar gelişmiş ve şifrelenmiş tehditlerden yararlanmaya devam ediyor. Sıfır gün kötü amaçlı yazılımlar, 2. çeyrekteki toplam tespitlerin üçte ikisinden fazlasını oluştururken, şifreli HTTPS bağlantıları üzerinden gönderilen saldırılar ise %34'ünü oluşturdu. Şifrelenmiş trafiği inceleyemeyen kuruluşlar, gelen tehditlerin üçte birini kaçıracaktır. İlk çeyrekteki şifrelenmiş tehditlerin oranının %64'ten düşmesine rağmen, HTTPS şifreli kötü amaçlı yazılımların hacmi önemli ölçüde arttı. Firebox güvenlik cihazlarında HTTPS incelemesini etkinleştirmek için daha fazla yöneticinin gerekli adımları attığı görülüyor, ancak yapılacak daha çok iş bulunuyor.

2. JavaScript tabanlı saldırılar yükselişte. Dolandırıcılık scripti Trojan.Gnaeus, WatchGuard’ın 2. çeyrekte ilk 10 kötü amaçlı yazılım listesinin başında yer alarak neredeyse beş kötü amaçlı yazılım tespitinden birini oluşturdu. Gnaeus kötü amaçlı yazılımı, tehdit aktörlerinin kurbanın tarayıcısının kontrolünü gizlenmiş kodla ele geçirmesine ve amaçlanan web hedeflerinden saldırganın kontrolü altındaki alanlara zorla yönlendirmesine olanak tanıyor. Bir başka pop-up tarzı JavaScript saldırısı olan J.S. PopUnder ise geçen çeyrekte en yaygın kötü amaçlı yazılım türevlerinden biriydi. Burada da karmaşık bir komut dosyası, kurbanın sistem özelliklerini tarıyor ve bir anti-algılama taktiği olarak hata ayıklama girişimlerini engelliyor. Bu tehditlerle mücadele etmek için şirketler, kullanıcıların bilinmeyen bir kaynaktan bir tarayıcı uzantısı yüklemesini engellemeli, tarayıcıları en son yamalarla güncel tutmalı, reklam engelleyicileri kullanmalı ve güncellenmiş bir kötü amaçlı yazılımdan koruma motoru bulundurmalıdır.

3. Saldırganlar kötü amaçlı yazılımları gizlemek için şifrelenmiş excel dosyalarını giderek daha fazla kullanıyor. XML-Trojan.Abracadabra, WatchGuard’ın en yaygın 10 kötü amaçlı yazılım algılama listesine eklenen yeni bir ürün olup, tekniğin Nisan ayında ortaya çıkmasından bu yana hızla popülerlik kazandı. Abracadabra, “VelvetSweatshop” parolasıyla (Excel belgeleri için varsayılan parola) şifrelenmiş bir Excel dosyası olarak sunulan bir kötü amaçlı yazılım çeşididir. Excel açıldıktan sonra otomatik olarak dosyanın şifresini çözüyor ve elektronik tablonun içindeki bir makro VBA komut dosyası indirilerek bir yürütülebilir dosyayı çalıştırıyor. Varsayılan bir parola kullanılması, dosya şifrelenip Excel tarafından çözüldüğünden, bu kötü amaçlı yazılımın birçok temel antivirüs çözümünü atlamasına izin veriyor. Şirketler, güvenilmeyen bir kaynaktan gelen makrolara asla izin vermemeli ve potansiyel olarak tehlikeli dosyaların gerçek amacını bir bulaşmaya neden olmadan önce güvenli bir şekilde doğrulamak için bulut tabanlı sandbox’dan yararlanmalıdır.

4. Eski ve oldukça kullanılabilir bir DoS saldırısı geri döndü. WordPress ve Drupal'ı etkileyen altı yıllık bir hizmet reddi (DoS) güvenlik açığı, WatchGuard’ın ikinci çeyrekte hacim bazında en yaygın 10 ağ saldırısı listesinde yer aldı. Bu güvenlik açığı özellikle yamalı olmayan Drupal ve WordPress kurulumunu etkileyerek, kötü aktörlerin temel donanımda CPU ve bellek tükenmesine neden olabileceği DoS senaryolarını oluşturuyor. Bu saldırılar yüksek hacmine rağmen, özellikle Almanya'daki birkaç düzine ağa aşırı odaklanmışlardı. DoS senaryoları kurban ağlarına sürekli trafik gerektirdiğinden, bu durum saldırganların hedeflerini kasıtlı olarak seçme olasılığının yüksek olduğu anlamına geliyor.

5. Kötü amaçlı yazılım domainleri, tahribata yol açmak için komut ve kontrol sunucularından yararlanıyor. İki yeni hedef, WatchGuard’ın 2. çeyrekte en yaygın kötü amaçlı yazılım domaini listesine girdi. En yaygın olanı, saldırının çalışmasını sağlamak için gizlenmiş bir dosya ve ilişkili kayıt defteri oluşturarak kullanıcıların Windows sistemlerini başlattıklarında hassas verileri sızdırıp ek kötü amaçlı yazılım indirebilen Dadobra trojan varyantı için bir C&C sunucusu kullanan “findresults[.]site” idi. Ayrıca bir kullanıcının WatchGuard ekibini, genellikle PDF belgesi aracılığıyla sunulan bir Asprox botnet varyantını desteklemek için başka bir C&C sunucusu kullanan ve saldırgana süreklilik kazandığını ve botnet'e katılmaya hazır olduğunu bildirmek için bir C&C sinyali sağlayan “Cioco-froll[.]com” konusunda uyardı. DNS güvenlik duvarı, kuruluşların bu tür tehditleri bağlantı için uygulama protokolünden bağımsız olarak algılamasına ve engellemesine yardımcı olabilir.

28,5 Milyondan Fazla Kötü Amaçlı Yazılım Varyantı Tespit Edildi!

WatchGuard’ın çeyrek araştırma raporundaki bulgular, aktif WatchGuard cihazlarındaki anonimleştirilmiş Firebox Feed verilerine dayanmakta. İkinci çeyrekte, yaklaşık 42.000 WatchGuard cihazı rapora veri kattı ve toplamda 28,5 milyondan fazla kötü amaçlı yazılım varyantını (cihaz başına 684) ve 1,75 milyondan fazla ağ tehdidini (cihaz başına 42) engelledi. Firebox cihazları 2. çeyrekte 410 benzersiz saldırı imzasını toplu olarak tespit etti ve engelledi, bu da ilk çeyreğe göre %15'lik bir artış ve 2018'in 4. çeyreğinden bu yana en yüksek artış.

Raporun tamamı, günümüzde orta ölçekli işletmeleri etkileyen en önemli kötü amaçlı yazılımlar ve ağ eğilimleri hakkında daha fazla bilgi ve bunlara karşı korunmak için önerilen güvenlik stratejileri ve en iyi uygulamaları içeriyor. Raporda ayrıca ShinyHunters hackleme grubunun getirdiği son veri ihlali çılgınlığının ayrıntılı bir analizi yer alıyor.