Mark-of-the-Web atlatma

BlueNoroff APT grubu, Mark-of-the-Web mekanizmasını atlatmak için bazı yöntemler uyguladı

BlueNoroff APT grubu, Mark-of-the-Web mekanizmasını atlatmak için bazı yöntemler uyguladı

Genellikle bir kullanıcı, e-posta ile gönderilen veya bir web sitesinden indirilen bir ofis belgesini okumaya çalıştığı zaman, Microsoft Office o belgeyi korumalı modda açar. Bunu da Windows’un varsayılan koruma mekanizmalarından birisi olan Mark-of-the-Web (MOTW) ile yapar. İnternetten bilgisayarınıza gelen dosyaları işaretler, böylece uygulamalar bu dosyaların kaynağını bilir ve kullanıcının dikkatini potansiyel tehlikeye çekebilir. Ancak, bu tür bir uyarı mekanizmasının etkililiğine gözü kapalı güvenmek muhtemelen kötü bir fikirdir zira son zamanlarda birçok saldırgan, MOTW’yu atlatma yöntemleri kullanmaya başlamıştır. Örneğin kısa süre önce BlueNoroff grubunun (Lazarus grubun bir parçası olduğu düşünülmektedir) araçları üzerinde çalışma yapan uzmanlarımız, söz konusu grubun, işletim sistemini kandırmak için yeni hileler kullandığını fark etti.

BlueNoroff grubu MOTW mekanizmasını nasıl atlatıyor?

Mark-of-the-Web mekanizması şöyle çalışıyor: Kullanıcı (veya program) internetten bir dosya indirdiği anda NTFS dosya sistemi, o dosyaya “internetten indirilmiştir” özelliği ekliyor. Ancak bu özellik her zaman alınmıyor. Bir arşiv indirdiğinizde arşivin içindeki tüm dosyalar bu özelliği alıyor. Fakat arşivler, dolaylı yoldan dosya aktarmanın tek yolu değil.

BlueNoroff grubunun arkasındaki saldırganlar, kötü amaçlı belgeleri yaymak için yeni dosya türleri kullanmayı denemeye başladı. Bazı durumlarda bu saldırganlar, genellikle optik disk görüntüleri depolamak için yaygın olarak kullanılan.iso biçimini kullanıyor. Diğer seçenek ise genellikle sanal bir sabit disk içeren.vhd dosyası. Yani bu saldırganlar gerçek saldırı unsurunu (hileli bir belge ve kötü amaçlı bir dizin), bir görselin ya da sanal sürücünün içine saklıyorlar.

Güncel BlueNoroff araç ve yöntemlerine dair daha detaylı bir teknik açıklamanın yanı sıra risk göstergelerine dair bilgi almak için uzmanlarımızın Securelist blogunda yer alan gönderisine bakabilirsiniz.

BlueNoroff kim ve ne istiyor?

Bu yılın başında, kripto para çalmaya yönelik SnatchCrypto kampanyası hakkında bir yazı paylaşmıştık. Birtakım belirtilerden yola çıkan araştırmacılarımız, bunun arkasında yer alanın da BlueNoroff grubu olduğunu düşünüyor. Bugün gözlemlenen faaliyet de temelde mali kazanç elde etmeye odaklı. Aslında saldırının son aşaması yine aynı: Suçlular, etkilenen bilgisayara izinsiz erişim geçidi kuruyor.

BlueNoroff grubu bugüne kadar, risk sermayesi ve yatırım şirketlerinin yanı sıra büyük bankaları taklit eden birçok etki alanı kaydetti. Bankaların isimlerinden ve saldırganların kullandığı hileli belgelerden yola çıkarak söyleyebiliriz ki bu gruptaki kişilerin şu andaki birincil hedefi Japonca konuşan kişiler. Ancak, gruptaki en az bir kurban BAE’de bulundu. Görüldüğü üzere BlueNoroff aslen, kripto para ile ilişkili işletmelerin yanı sıra finans şirketleriyle ilgileniyor.

Nasıl güvende kalacağız?

Öncelikle, işletim sisteminde entegre haldeki varsayılan koruma mekanizmalarının şirketinizi güvende tutmak için yeterli olduğu varsayımından kurtulmanız gerekir. Mark-of-the-Web mekanizması, bir çalışanın internetten aldığı dosyayı açmasını ve zararlı bir dizin çalıştırmasını önleyemez. Şirketinizin BlueNoroff ve benzeri APT gruplarının tuzağına düşmemesi için uzmanlarımızın önerileri şu şekildedir:

  • tüm iş cihazlarına modern güvenlik çözümleri kurmak: Bu çözümler, kötü amaçlı dosyalardan gelen dizinlerin çalıştırılmasını önler;
  • çalışanlarınızı modern siber tehditler hakkında bilgilendirmek: Uygun şekilde düzenlenmiş eğitimler, çalışanlarınızın saldırganlara kanmamasını sağlar;
  • EDR sınıfı güvenlik çözümleri kullanmak ve gerekirse Yönetimli Algılama ve Yanıt hizmetleri kullanmak: Bu sayede kurumsal ağdaki kötü amaçlı faaliyetler zamanında tespit edilir ve gerçek anlamda bir zarar meydana gelmeden önce saldırı engellenir.
İpuçları