Mantıken bir siber olayı önlemenin en güvenilir yolu, kötü amaçlı yazılımların kurumsal altyapıya sızmasının önüne geçmektir. Dolayısıyla uzmanlar bilgi güvenliği stratejisi geliştirirken genellikle e-posta gibi en açık saldırı vektörlerine odaklanır. Saldırıların çoğu gerçekten de bir e-posta ile başlar, ancak siber suçluların başka birçok kötü amaçlı yazılım yayma yöntemi olduğunu da unutmamak gerekir. Kaspersky Global Araştırma ve Analiz Ekibi’nden uzmanlar, son tehditleri analiz ederken karşılaştıkları, yaygın görülmeyen bazı virüs bulaştırma ve kötü amaçlı yazılım yayma yöntemlerinden bahsettiler.
Başka bir aracı taklit etme amaçlı hatalı yazım (typosquatting)
AdvancedIPSpyware adlı kötü amaçlı yazılımın yaratıcıları, kodlarını sistem yöneticilerine yönelik Advanced IP Scanner aracına eklemeye karar verdi. Tamamen orijinaliyle aynı tasarıma sahip ve alan adının yalnızca bir harfi farklı olan iki web sitesi yarattılar. Bir yerel ağ izleme aracı arayan kurbanın sahte siteden arka kapısı olan programı indirmesini umuyorlardı. İşin ilginç yanı, Advanced IP Scanner’ın kötü amaçlı sürümü yasal bir dijital sertifikayla imzalanmıştı. Sertifika çalınmış gibi görünüyor.
YouTube videolarının altındaki bağlantılar
OnionPoison operatörleri de benzer bir şey yapmaya çalıştı. Tor tarayıcının kendilerine ait kötü amaçlı bir sürümünü yarattılar (yalnızca dijital imzası yoktu). Ancak sahte tarayıcılarını yaymak için çevrimiçi anonimlik hakkında popüler bir YouTube kanalında yer alan ve Tor yükleme talimatlarını içeren bir videonun altına bir bağlantı koydular. Virüslü sürüm güncellenemiyordu ve kötü amaçlı ilave bir kitaplık yüklemeye yarayan bir arka kapı içeriyordu. Bu da saldırganların hem sistemde istedikleri komutu yürütebilmelerini hem de tarayıcı geçmişi ile WeChat ve QQ hesap giriş bilgilerini ele geçirmelerini sağlıyordu.
Torrentlerle yayılan kötü amaçlı yazılımlar
CLoader’ın yaratıcıları kötü amaçlı yazılımlarını korsan oyunlar ve kullanışlı yazılımlar gibi göstererek yaymaya çalıştı. Bu yöntem genellikle daha çok ev kullanıcılarını hedeflese de uzaktan çalışmanın norm haline geldiği ve kurumsal sınırların bulanıklaştığı bugünlerde kötü amaçlı torrentler iş bilgisayları için de tehdit oluşturabiliyor. Torrent ile korsan yazılım indirmeye çalışan kurbanlar, bunun yerine virüslü cihazda proxy sunucu olarak çalışabilen, başka kötü amaçlı yazılımlar yükleyebilen ve sisteme yetkisiz uzaktan erişim veren kötü amaçlı bir yazılım yüklemiş oldu.
Yasal araçlar yoluyla yanal hareket
BlackBasta fidye yazılımının son sürümü, belirli Microsoft teknolojilerini kullanarak yerel bir ağda yayılabiliyor. Tek bir bilgisayara bulaştıktan sonra LDAP kitaplığı üstünden Active Directory’e bağlanıyor, yerel ağdaki bilgisayarların listesini alıyor, kötü amaçlı yazılımı bu bilgisayarlara kopyalıyor ve Bileşen Nesne Modeli (COM) kullanarak yazılımı uzaktan yürütüyor. Bu yöntemin sistemde daha az iz bırakması tespiti zorlaştırıyor.
Kendinizi korumanın yolları
Bu örnekler, kurumsal altyapıların kapsamlı korumaya ihtiyaç duyduğunu gösteriyor. Elbette kimlik avına, kötü amaçlı bağlantılara ve eklere karşı gelen tüm e-postaları tarayan bir çözüm sizi saldırıların çoğundan koruyacaktır. Ancak internet erişimine sahip her bilgisayarın kendi kötü amaçlı yazılım korumasına sahip olması gerektiğini de unutmayın. Ayrıca kurumsal ağınızda neler olup bittiğini daha iyi anlamak için EDR sınıfı çözümler kullanmak da iyi bir fikir olabilir.