2015’in 3. çeyreği, sosyal mühendislikle yeniden biçimlendirilmiş eski tehditlerin, kök kullanıcı takımlarının (rootkit) yerini alan yeni dosyasız kötü amaçlı yazılımların, hatalı kodlanmış mobil uygulamaların ve ekosistemin en zayıf halkası olan son kullanıcılara yapılan saldırıların örneklerini sundu.
Intel Security’nin bugün yayınlanan “McAfee Labs Tehditler Raporu: Kasım 2015”te, her çeyrek yapılan klasik siber değerlendirmelerin yanı sıra, şu konulara da değindi:
- McAfee Labs araştırmacıları, arka plan servis sağlayıcı kılavuzunu uygulamadaki başarısızlığın da dâhil olduğu, zayıf mobil uygulama kodlaması uygulamalarının, buluttaki kullanıcı verilerini nasıl saldırılara açık bıraktığını açıklıyorlar. Bu analiz ayrıca, mobil bankacılık müşterilerinin böyle bir senaryo ile nasıl aldatılabildiklerini de gösteriyor.
- Rapor, kurumları çekmek için sosyal mühendisliği kullanan kötü amaçlı makro yazılımlarını inceliyor. Geçtiğimiz senelerde düşüş eğiliminde olan, ancak son birkaç ayda son altı yılın zirvesini gören kötü amaçlı makro yazılımlar geri döndü. Kötü amaçlı makro yazılımlarda, 2015’in 3. çeyreğinde 10,000’den az yeni saldırı gözlemlenirken, son çeyrekte 45,000’den fazla saldırı görülüyor.
- Rapor son olaraksa, yeni platform özelliklerinin ve zararlı yazılımlardaki gelişmelerin, klasik tehdit bulma yöntemlerini kolaylıkla aşan yeni bir dosyasız kötü amaçlı yazılım sınıfını nasıl yarattığının detaylarını veriyor. Bu dosyasız saldırıların, kök kullanıcı kodu (rootkit) saldırılarının yerini aldığı görülüyor.
Rapor, 2015’in üçüncü çeyreğinde bize, tehdit teknolojisi eğrisinin önünde olmak için her zaman yenilikçi olmak zorunda olmamız gerektiğini bir kez daha hatırlatıyor. Ayrıca, güvenli uygulama kodlaması için en iyi uygulamalar gibi sağduyulu çözümleri ve e-dolandırıcılık (spearphishing) gibi her zaman kullanılan taktiklere karşı koymak için kullanıcı eğitimini asla boşlamamamız gerektiğinin de bir kez daha altını çiziyor.
Arka plan mobil uygulama kodlama uygulamaları
McAfee Labs tarafından yaklaşık 300,000 mobil uygulama üzerinde yapılan iki aylık bir analiz, Doğu Avrupa’daki binlerce mobil bankacılık hesabından çıkar sağlamaya çalışan iki mobil
bankacılık Truva atını keşfetmesine neden oldu. Endüstri tarafından “Android/OpFake” ve “Android/Marry” olarak bilinen bu iki kötü amaçlı yazılım türü, mobil uygulamaları, uygulama verilerini yöneten arka plan servis sağlayıcılara bağlayan zayıf mobil uygulama kodlamasının zaafiyetini kullanmak üzere tasarlanmış.
Bilindiği üzere, mobil uygulamalar genellikle güvenli veri depolaması ve iletişim için, arka plan servislere bel bağlıyorlar. Mobil uygulama geliştiricilerse, uygulamalarını bu arka plan servislerle bütünleştirmek ve gerekli ayarlamaları yapmakla yükümlü. Eğer uygulama geliştiriciler bu arka plan servis sağlayıcıların güvenlik kılavuzunu uygulamada başarısız olurlarsa, kullanıcı verileri saldırılara açık hale gelebiliyor. Kişisel ve profesyonel işlerin mobil bulutlarda yönetilmesinin gittikçe artmasına bağlı olarak, bu konudaki tehlike artıyor.
McAfee Labs, yakın zamanda sonlandırılmış, iki farklı mobil bankacılık Truva atını kullanan iki siber suç kampanyasıyla ilgili araştırma yaptı. Bu araştırmanın sonucunda, her iki kampanyada da, arka plan kodlamalarındaki zafiyet kullanılarak, kök (root) özel haklarının kötüye kullandığı ortaya çıkarıldı. Hazırlanan bir SMS gönderim düzeneğiyle kredi kartı numaralarının çalınmasına ve sahte işlemler gerçekleştirilmesine neden olan Truva atları, 13,842 banka müşterisinin 171,256 SMS’ini ele geçirdi ve bulaştığı 1,645 mobil cihazda uzaktan komutlar çalıştırdı.
Intel Security, yazılım geliştiricilerin, en iyi arka plan kodlama uygulamalarına ve servis sağlayıcılar tarafından sağlanan güvenli kodlama kılavuzuna daha fazla dikkat etmeleri gerektiğini vurguluyor. Kullanıcılaraysa, sadece iyi bilinen kaynaklardan mobil uygulama indirmelerini ve cihazları için en iyi kök dizin (rooting) uygulamalarını izlemeleri öneriliyor.
Kötü amaçlı makro yazılımlarla yapılan e-dolandırıcılık son altı yılın en yüksek seviyesine ulaştı
McAfee Labs geçen yıldan beri kötü amaçlı makro kodlarda dört kat artış kaydetti. Bu da 2009’dan beri kategorinin en yüksek büyüme oranına denk düşüyor. Kurumsal kullanıcıları aldatmak için tasarlanmış, kötü yazılım taşıyan e-mail eklerinin açılmasıyla uygulanan e-dolandırıcılık kampanyalarının dönüşü, konunun ön plana çıkmasına neden oldu. Bu yeni makrolar, kötü amaçlı kod yükleri indirildikten sonra da gizlenmeyi başardılar.
Bu tarz kötü amaçlı makrolar 1990’larda kullanıcıların başını epey ağrıtmıştı. Ancak Microsoft gibi platform sağlayıcıların, otomatik makro çalıştırılmasını durduran varsayılan ayarlarını (default settings) yeniden programlamasından sonra, bu makroların sayıları azalmıştı.
İlk makro kampanyaları her tanımlamada kullanıcılara odaklanırken, yeni kötü amaçlı makro yazılımlarsa, tekrarlanan ihtiyaçları için, makroları kullanarak kolay programlar oluşturan büyük organizasyonlara odaklandılar. Bugün bu zararlı e-postalar, kullanıcılara organizasyonun işi bağlamında uygun görünmek üzere geliştirilmiş durumda. Böylece kullanıcılar makroların çalışmasına hiç düşünmeden izin veriyor.
E-dolandırıcılığa karşı kullanıcıların farkındalığını artırmaya ek olarak Intel Security, organizasyonların makro güvenlik ayarlarını “yüksek” seviyeye çıkarmalarını ve e-posta geçitlerinin özellikle makro içeren ekleri filtreleyecek şekilde ayarlanmasını öneriyor.
Dosyasız kötü amaçlı yazılımlardaki yenilikler
McAfee Labs, 2015’in ilk üç çeyreğinde 74,471 dosyasız saldırı örneği yakaladı. En yaygın üç dosyasız kötü amaçlı yazılım tipi, kodlarını doğrudan bir platform fonksiyonunun uygun bir bellek alanına yüklüyor veya bir kernel seviyesi API’ın arkasına gizliyor ya da işletim sisteminin kütüğüne saklıyor.
Çoğu zararlı enfeksiyon, tespit ve analiz edilebilen ve suçlu olduğu kanıtlanabilen bazı dosya tiplerini sisteme bırakıyorken, yeni nesil Kovter, Powelike ve XswKit gibi saldırılar, diskte bir iz bırakmaksızın belleğe yerleşmek için, işletim sistemi platformu servislerinin zafiyetini kullanmak üzere tasarlanmışlar.
Intel Security, saldırı taşıyıcılarını bloke etmek için e-posta ve ağ korumaları ile birlikte, güvenli ağ dolaşımı ve e-posta uygulamalarını öneriyor.
2015 3. Çeyrek Tehdit İstatistikleri
- Genel tehdit aktivitesi. McAfee Labs’ın Küresel Tehdit İstihbaratı (Global Threat Intelligence-GTI-) ağı her bir dakikada ortalama 327 veya her saniye 5’ten fazla yeni bir tehdit buldu. Ağdaki diğer bulgularsa şöyle:
- Kullanıcıları riskli URL’lere bağlanmaları için kandırmaya çalışan (e-posta veya tarayıcı üzerinden arama vb.) 7.4 milyondan fazla girişim.
- Müşterilerimizin ağlarını hedefleyen 3.5 milyondan fazla enfekte dosya.
- Ayrıca kurulmaya veya başlamaya girişen 7.4 milyon Potansiyel Olarak İstenmeyen Program (PUP).
- Kötü amaçlı mobil yazılım. Kötü amaçlı mobil yazılım örneklerinin toplam sayısı 3. çeyrekte 2. çeyreğe göre %16 artarken, toplamda geçen seneye oranla %81 artış görüldü. İşletim sistemi savunmalarındaki iyileştirmeler nedeniyle enfekte olan sistem sayısıysa daha düşük seviyede seyrediyor.
- Mac OS Kötü amaçlı yazılım.Siber suçlular artan bir oranda dikkatlerini Mac platformuna çevirdiler. Mac OS kötü amaçlı yazılımların 3. çeyrekte 2. çeyreğe göre dört kat arttığı kaydedildi. Bu artışın çoğu tek bir tehditten geldi.
- Fidye yazılımları. Yeni fidye yazılımı örneklerinin sayısı, 3. çeyrekte 2. çeyreğe göre %18 artarken; McAfee Labs’ın kötü amaçlı yazılım “hayvanat bahçesi”ndeki fidye yazılımı örneklerinin toplam sayısı geçen yıla göre %155 artış gösterdi.
- Kök Kullanıcı Takımında (Rootkit) azalma. Yeni rootkit kötü amaçlı yazılımları %65 azalarak, 2008’den beri en düşük oranında seyrediyor. Bu düşüş, muhtemelen saldırganlar için dönüş oranlarının azalması nedeniyle oldu. 64-bit Windows ile Microsoft, sürücülerin imzalanmasını zorluyor ve saldırganlar için kernel çengellemesini önemli ölçüde daha zorlaştıran PatchGuard’ı sunuyor.
- Kötü amaçlı yazılım imzalı binary’ler. Yeni kötü amaçlı yazılım imzalı binary’ler 3 çeyrektir düşüş eğilimindeler.
- Botnet aktivitesi. Kelihos botnet’i, 3. çeyrekte istenmeyen posta gönderen botnet’ler arasında tekrar liderliği ele geçirdi. Sahte tüketici ürünleri ve sahte ilaçlar için kampanyaları destekleyen botnet, önceki iki çeyrekte daha pasif bir durumdaydı.