Bugün koronavirüs konusu tüm haber akışlarını doldurdu ve aynı zamanda saldırganların COVID-19 konusunu ve onunla bağlantılı her şeyi istismar eden çeşitli faaliyetlerinin ana motifi haline geldi. Bu notta, pek çok bilgi güvenliği uzmanı için elbette bir sır olmayan ancak özeti tek bir notta kendi farkındalığınızı hazırlamanızı kolaylaştıracak bu tür kötü niyetli faaliyetlerin bazı örneklerine dikkat çekmek istiyorum. -Bazıları uzaktan çalışan ve diğerleri çeşitli bilgi güvenliği tehditlerine karşı eskisinden daha duyarlı olan çalışanlar için etkinlikler düzenlemek.
Bir UFO'dan bir dakikalık bakım
Dünya resmi olarak SARS-CoV-19 koronavirüsünün (2-nCoV) neden olduğu potansiyel olarak ciddi bir akut solunum yolu enfeksiyonu olan COVID-2019 pandemisini ilan etti. Bu konu hakkında Habré hakkında çok fazla bilgi var; bunun hem güvenilir/yararlı hem de güvenilir/yararlı olabileceğini her zaman unutmayın.
Yayınlanan her türlü bilgiyi eleştirmenizi öneririz.
Resmi kaynaklar
- Bölgelerdeki operasyonel karargahların web siteleri ve resmi grupları
Rusya'da yaşamıyorsanız lütfen ülkenizdeki benzer sitelere bakın.
Ellerinizi yıkayın, sevdiklerinizle ilgilenin, mümkünse evde kalın ve uzaktan çalışın.Aşağıdakilerle ilgili yayınları okuyun: |
Bugün koronavirüsle ilişkili tamamen yeni bir tehdidin bulunmadığını belirtmek gerekir. Daha ziyade, zaten geleneksel hale gelen, yalnızca yeni bir "sos"ta kullanılan saldırı vektörlerinden bahsediyoruz. Bu nedenle, temel tehdit türlerini şöyle adlandırabilirim:
- Coronavirüs ve ilgili kötü amaçlı kodlarla ilgili kimlik avı siteleri ve haber bültenleri
- COVID-19 hakkında korkudan veya eksik bilgiden yararlanmayı amaçlayan sahtekarlık ve dezenformasyon
- koronavirüs araştırmalarında yer alan kuruluşlara yönelik saldırılar
Vatandaşların geleneksel olarak yetkililere güvenmedikleri ve gerçeği onlardan sakladıklarına inandıkları Rusya'da, sahte kaynakların yanı sıra kimlik avı sitelerini ve e-posta listelerini başarılı bir şekilde "tanıtma" olasılığı, daha açık olan ülkelere göre çok daha yüksektir. yetkililer. Her ne kadar bugün hiç kimse kendisini, bir kişinin tüm klasik insani zayıflıklarını (korku, şefkat, açgözlülük vb.) kullanan yaratıcı siber dolandırıcılardan tamamen korunduğunu düşünemez.
Örneğin tıbbi maske satan sahtekar bir siteyi ele alalım.
Benzer bir site olan CoronavirüsMedicalkit[.]com, var olmayan bir COVID-19 aşısını "sadece" posta ücretiyle ücretsiz olarak dağıttığı için ABD yetkilileri tarafından kapatıldı. Bu durumda, bu kadar düşük bir fiyatla hesaplama, Amerika Birleşik Devletleri'ndeki panik koşullarında ilaca olan acil talep için yapıldı.
Bu klasik bir siber tehdit değildir, çünkü bu durumda saldırganların görevi kullanıcılara virüs bulaştırmak veya kişisel verilerini veya kimlik bilgilerini çalmak değil, yalnızca korku dalgası üzerine onları tıbbi maskeleri şişirilmiş fiyatlarla satın almaya zorlamaktır. gerçek maliyetin 5-10-30 katı kadar fazla. Ancak koronavirüs temasını kullanan sahte bir web sitesi oluşturma fikri siber suçlular tarafından da kullanılıyor. Örneğin, adında “covid19” anahtar kelimesini barındıran ama aynı zamanda phishing sitesi olan bir site var.
Genel olarak olay inceleme hizmetimizin günlük takibi adlarında covid, covid19, koronavirüs vb. kelimeleri içeren kaç alan adı oluşturulduğunu görüyorsunuz. Ve bunların çoğu kötü niyetli.
Şirket çalışanlarının bir kısmının evden çalışma sistemine geçtiği ve kurumsal güvenlik önlemleriyle korunmadığı bir ortamda, çalışanların mobil ve masaüstü cihazlarından eriştikleri kaynakların bilerek veya bilmeden takip edilmesi her zamankinden daha önemli. bilgi. Hizmeti kullanmıyorsanız bu tür etki alanlarını tespit etmek ve engellemek için (ve Cisco bu hizmete bağlantı artık ücretsizdir), ardından en azından Web erişimi izleme çözümlerinizi ilgili anahtar kelimelerle etki alanlarını izleyecek şekilde yapılandırın. Aynı zamanda, kötü amaçlı alan adları çok hızlı bir şekilde oluşturulduğundan ve yalnızca 1-2 saldırıda birkaç saatten uzun olmayan bir süre kullanıldığından, etki alanlarını kara listeye alma ve itibar veritabanlarını kullanma konusundaki geleneksel yaklaşımın başarısız olabileceğini unutmayın. saldırganlar yeni geçici alan adlarına geçer. Bilgi güvenliği şirketlerinin bilgi tabanlarını hızlı bir şekilde güncellemek ve bunları tüm müşterilerine dağıtmak için zamanları yoktur.
Saldırganlar, kimlik avı bağlantılarını ve kötü amaçlı yazılımları eklerde dağıtmak için e-posta kanalını aktif olarak kullanmaya devam ediyor. Kullanıcılar, koronavirüsle ilgili tamamen yasal haber postaları alırken, bunların hacmindeki kötü amaçlı bir şeyi her zaman fark edemediğinden, bunların etkinliği de oldukça yüksektir. Enfekte olan kişilerin sayısı artarken, bu tür tehditlerin kapsamı da giderek büyüyecek.
Örneğin, CDC adına gönderilen bir kimlik avı e-postası örneği şöyle görünür:
Bağlantıyı takip etmek elbette CDC web sitesine değil, kurbanın kullanıcı adını ve şifresini çalan sahte bir sayfaya yönlendiriyor:
İşte Dünya Sağlık Örgütü adına olduğu iddia edilen bir kimlik avı e-postası örneği:
Ve bu örnekte, saldırganlar birçok kişinin yetkililerin enfeksiyonun gerçek boyutunu kendilerinden sakladığına inandığına güveniyor ve bu nedenle kullanıcılar mutlu bir şekilde ve neredeyse hiç tereddüt etmeden kötü amaçlı bağlantılar veya ekler içeren bu tür mektuplara tıklıyorlar. güya tüm sırları ortaya çıkaracak.
Bu arada böyle bir site var ölüm oranı, sigara içenlerin sayısı, farklı ülkelerdeki nüfus vb. gibi çeşitli göstergeleri izlemenize olanak tanır. Web sitesinde ayrıca koronavirüse ayrılmış bir sayfa var. 16 Mart'ta bu siteye gittiğimde, bir an için yetkililerin bize doğru söylediğinden şüphe etmeme neden olan bir sayfa gördüm (bu rakamların nedeninin ne olduğunu bilmiyorum, belki de sadece bir hata):
Saldırganların benzer e-postalar göndermek için kullandıkları popüler altyapılardan biri de son zamanların en tehlikeli ve popüler tehditlerinden biri olan Emotet'tir. E-posta mesajlarına eklenen Word belgeleri, kurbanın bilgisayarına yeni kötü amaçlı modüller yükleyen Emotet indiricilerini içerir. Emotet başlangıçta Japonya'da yaşayanları hedef alan, tıbbi maske satan dolandırıcı sitelere bağlantıları tanıtmak için kullanıldı. Aşağıda kötü amaçlı bir dosyayı korumalı alan kullanarak analiz etmenin sonucunu görüyorsunuz , dosyaları kötü amaçlılık açısından analiz eder.
Ancak saldırganlar yalnızca MS Word'de başlatma yeteneğinden değil, aynı zamanda diğer Microsoft uygulamalarından da (örneğin MS Excel'de) yararlanarak (APT36 hacker grubu böyle davrandı), Hindistan Hükümeti'nden Crimson içeren koronavirüsle mücadele önerileri göndererek FARE:
Coronavirüs temasını kullanan bir diğer kötü amaçlı kampanya ise uzaktan erişim, klavye vuruşlarını engelleme, ekran görüntüleri yakalama, dosyalara erişme vb. için kurban bilgisayarlara programlar yüklemenize olanak tanıyan Nanocore RAT'tır.
Ve Nanocore RAT genellikle e-posta yoluyla gönderilir. Örneğin, aşağıda yürütülebilir bir PIF dosyası içeren ZIP arşivinin eklendiği örnek bir posta iletisi görüyorsunuz. Kurban, yürütülebilir dosyaya tıklayarak bilgisayarına bir uzaktan erişim programı (Uzaktan Erişim Aracı, RAT) yükler.
İşte COVID-19 konulu bir kampanya parazitinin başka bir örneği. Kullanıcı, .pdf.ace uzantılı bir faturanın ekinde, koronavirüs nedeniyle teslimatta beklenen gecikme hakkında bir mektup alır. Sıkıştırılmış arşivin içinde, ek komutlar almak ve saldırganın diğer hedeflerini gerçekleştirmek için komut ve kontrol sunucusuyla bağlantı kuran yürütülebilir içerik bulunur.
Parallax RAT da benzer işlevselliğe sahip; “yeni virüslü CORONAVIRUS sky 03.02.2020/XNUMX/XNUMX.pif” isimli dosyayı dağıtıyor ve DNS protokolü üzerinden komut sunucusuyla etkileşime giren kötü amaçlı bir program yüklüyor. EDR sınıfı koruma araçları, bunun bir örneği ve her iki NGFW de komut sunucularıyla iletişimin izlenmesine yardımcı olacaktır (örneğin, ) veya DNS izleme araçları (örneğin, ).
Aşağıdaki örnekte, bilinmeyen bir nedenden ötürü, bilgisayara yüklenen normal bir antivirüs programının gerçek COVID-19'a karşı koruma sağlayabileceğinin reklamını satın alan bir kurbanın bilgisayarına uzaktan erişim kötü amaçlı yazılımı yüklendi. Ve sonuçta, birisi böyle görünüşte bir şakaya kandı.
Ancak kötü amaçlı yazılımlar arasında gerçekten tuhaf şeyler de var. Örneğin, fidye yazılımının çalışmasını taklit eden şaka dosyaları. Bir durumda Cisco Talos bölümümüz Yürütme sırasında ekranı bloke eden ve bir zamanlayıcı başlatan CoronaVirus.exe adlı bir dosya ve "bu bilgisayardaki tüm dosya ve klasörler siliniyor - koronavirüs" mesajı.
Geri sayım bittiğinde alttaki buton aktif hale geldi ve basıldığında tüm bunların bir şaka olduğunu ve programı sonlandırmak için Alt+F12 tuşlarına basmanız gerektiğini belirten aşağıdaki mesaj çıktı.
Kötü amaçlı postalara karşı mücadele, örneğin aşağıdakiler kullanılarak otomatikleştirilebilir: Bu, yalnızca eklerdeki kötü amaçlı içeriği tespit etmenize değil, aynı zamanda kimlik avı bağlantılarını ve bunlara yapılan tıklamaları da izlemenize olanak tanır. Ancak bu durumda bile kullanıcıları, kullanıcılarınıza yönelik saldırganların çeşitli hilelerine hazırlayacak olan kimlik avı simülasyonları ve siber tatbikatları düzenli olarak gerçekleştirmeyi ve kullanıcıları eğitmeyi unutmamalısınız. Özellikle uzaktan ve kişisel e-postaları aracılığıyla çalışıyorlarsa, kötü amaçlı kod kurumsal veya departman ağına sızabilir. Burada yeni bir çözüm önerebilirim Bu, yalnızca personelin bilgi güvenliği konularında mikro ve nano eğitiminin verilmesine değil, aynı zamanda onlar için kimlik avı simülasyonlarının düzenlenmesine de olanak tanır.
Ancak herhangi bir nedenden dolayı bu tür çözümleri kullanmaya hazır değilseniz, en azından çalışanlarınıza kimlik avı tehlikesini, örneklerini ve güvenli davranış kurallarının bir listesini hatırlatan düzenli postalar düzenlemeye değer. Saldırganlar kendilerini onlar gibi gizlemezler). Bu arada, şu anda olası risklerden biri, uzaktan çalışma için yeni kurallar ve prosedürler, uzak bilgisayarlara yüklenmesi gereken zorunlu yazılımlar vb. hakkında konuştuğu iddia edilen, yönetiminizden gelen mektuplar gibi görünen kimlik avı e-postalarıdır. Siber suçluların e-postanın yanı sıra anlık mesajlaşma programlarını ve sosyal ağları da kullanabileceğini unutmayın.
Bu tür bir e-posta veya bilinçlendirme programında, zaten klasik olan sahte koronavirüs enfeksiyon haritası örneğini de dahil edebilirsiniz. Johns Hopkins Üniversitesi. Fark Bir kimlik avı sitesine erişildiğinde, kullanıcının bilgisayarına kötü amaçlı yazılım yüklenmiş ve bu yazılım, kullanıcı hesap bilgilerini çalıp siber suçlulara göndermişti. Böyle bir programın bir sürümü, kurbanın bilgisayarına uzaktan erişim için RDP bağlantıları da oluşturdu.
Bu arada, RDP hakkında. Bu da saldırganların koronavirüs salgını sırasında daha aktif kullanmaya başladığı bir başka saldırı vektörü. Birçok şirket, uzaktan çalışmaya geçerken, acele nedeniyle yanlış yapılandırıldığında saldırganların hem uzak kullanıcı bilgisayarlarına hem de kurumsal altyapıya sızmasına yol açabilecek RDP gibi hizmetleri kullanıyor. Ayrıca, doğru yapılandırmayla bile çeşitli RDP uygulamalarında saldırganların yararlanabileceği güvenlik açıkları bulunabilir. Örneğin Cisco Talos FreeRDP'de çok sayıda güvenlik açığı vardı ve geçen yılın mayıs ayında, Microsoft Uzak Masaüstü hizmetinde kurbanın bilgisayarında rastgele kod çalıştırılmasına, kötü amaçlı yazılımların tanıtılmasına vb. izin veren kritik bir CVE-2019-0708 güvenlik açığı keşfedildi. Onun hakkında bir bülten bile dağıtıldı ve örneğin Cisco Talos karşı korunmaya yönelik öneriler.
Korona virüsü temasının istismarının başka bir örneği daha var: Fidyeyi bitcoin olarak ödemeyi reddeden kurbanın ailesine yönelik gerçek enfeksiyon tehdidi. Etkiyi arttırmak, mektuba anlam kazandırmak ve gaspçının her şeye kadir olduğu hissini yaratmak için, kurbanın hesaplarından birindeki, halka açık kullanıcı adı ve şifre veritabanlarından elde edilen şifresi mektubun metnine eklendi.
Yukarıdaki örneklerden birinde Dünya Sağlık Örgütü'nden gelen bir phishing mesajını gösterdim. Ve işte kullanıcılardan COVID-19 ile mücadele için mali yardım istendiği başka bir örnek (mektubun gövdesindeki başlıkta “BAĞIŞ” kelimesi hemen fark edilse de) ve virüsten korunmak için bitcoin cinsinden yardım istiyorlar. kripto para birimi takibi.
Ve bugün, kullanıcıların şefkatini suiistimal eden buna benzer pek çok örnek var:
Bitcoin'lerin başka bir açıdan da COVID-19 ile ilişkisi var. Örneğin, evde oturan ve para kazanamayan birçok İngiliz vatandaşının aldığı postalar böyle görünüyor (artık Rusya'da da bu geçerli olacak).
Tanınmış gazete ve haber siteleri gibi görünen bu postalar, özel sitelerde kripto para madenciliği yaparak kolay para kazanma olanağı sunuyor. Hatta bir süre sonra kazandığınız tutarın özel bir hesaba çekilebileceğine dair bir mesaj alıyorsunuz ancak bundan önce az miktarda vergi aktarmanız gerekiyor. Dolandırıcıların bu parayı aldıktan sonra karşılığında hiçbir şey aktarmadıkları ve saf kullanıcının aktarılan parayı kaybettiği açıktır.
Dünya Sağlık Örgütü'nün bir başka tehdidi daha var. Bilgisayar korsanları, genellikle ev kullanıcıları ve küçük işletmeler tarafından kullanılan D-Link ve Linksys yönlendiricilerinin DNS ayarlarını hackleyerek, onları WHO uygulamasını yüklemenin gerekliliği konusunda bir uyarı içeren sahte bir web sitesine yönlendirdiler. Coronavirüs ile ilgili en son haberler ile güncel. Üstelik uygulamanın kendisi de bilgi çalan kötü amaçlı Oski programını içeriyordu.
Benzer bir fikir, ABD Eğitim Bakanlığı, Dünya Sağlık Örgütü ve Salgın Kontrol Merkezi tarafından "sertifikalı" olduğu varsayılan bir uygulama aracılığıyla dağıtılan Android Truva Atı CovidLock tarafından, COVID-19 enfeksiyonunun mevcut durumunu içeren bir uygulamayla istismar ediliyor ( HKM).
Bugün pek çok kullanıcı kendi kendine izolasyon içinde ve yemek pişirmek istemiyor veya yemek yapamıyor; yiyecek, bakkaliye veya tuvalet kağıdı gibi diğer ürünler için teslimat hizmetlerini aktif olarak kullanıyor. Saldırganlar da bu vektöre kendi amaçları doğrultusunda hakim olmuşlardır. Örneğin, kötü amaçlı bir web sitesi, Canada Post'un sahip olduğu meşru bir kaynağa benzer şekilde böyle görünür. Mağdurun aldığı SMS'teki bağlantı, sipariş edilen ürünün yalnızca 3 dolar eksik olması nedeniyle teslim edilemediğini ve bu tutarın ekstra ödenmesi gerektiğini bildiren bir web sitesine yönlendiriyor. Bu durumda kullanıcı, kredi kartının ayrıntılarını belirtmesi gereken bir sayfaya yönlendirilir... ve bunun sonucunda ortaya çıkan tüm sonuçlar.
Sonuç olarak, COVİD-19 ile ilgili siber tehditlere iki örnek daha vermek istiyorum. Örneğin, "COVID-19 Coronavirüs - Canlı Harita WordPress Eklentisi", "Coronavirus Spread Prediction Graphs" veya "Covid-19" eklentileri, popüler WordPress motorunu kullanan sitelere yerleşiktir ve ayrıca virüsün yayılma haritasını görüntüler. koronavirüs aynı zamanda WP-VCD kötü amaçlı yazılımını da içerir. Ve çevrimiçi etkinliklerin sayısındaki artışın ardından çok çok popüler hale gelen Zoom şirketi, uzmanların "Zoombombing" dediği durumla karşı karşıya kaldı. Saldırganlar, aslında sıradan porno trolleri, çevrimiçi sohbetlere ve çevrimiçi toplantılara bağlanarak çeşitli müstehcen videolar gösterdiler. Bu arada benzer bir tehditle bugün Rus şirketleri de karşılaşıyor.
Sanırım çoğumuz salgının mevcut durumuyla ilgili hem resmi hem de çok resmi olmayan çeşitli kaynakları düzenli olarak kontrol ediyoruz. Saldırganlar bu konuyu istismar ederek bize, "yetkililerin sizden sakladığı" bilgiler de dahil olmak üzere, koronavirüs hakkında "en son" bilgileri sunuyor. Ancak sıradan sıradan kullanıcılar bile son zamanlarda saldırganlara "tanıdıklarından" ve "arkadaşlarından" doğrulanmış gerçeklerin kodlarını göndererek yardımcı oldu. Psikologlar, görüş alanlarına giren her şeyi (özellikle bu tür tehditlere karşı koruma mekanizmaları olmayan sosyal ağlarda ve anlık mesajlaşma programlarında) gönderen "alarmcı" kullanıcıların bu tür faaliyetlerinin, kendilerini tehditlerle mücadelenin içinde hissetmelerini sağladığını söylüyor. küresel bir tehdit ve hatta kendilerini dünyayı koronavirüsten kurtaran kahramanlar gibi hissediyorlar. Ancak ne yazık ki özel bilgi eksikliği, bu iyi niyetlerin "herkesi cehenneme sürüklemesine", yeni siber güvenlik tehditleri oluşturmasına ve kurban sayısının artmasına neden oluyor.
Aslında koronavirüsle ilgili siber tehdit örneklerine devam edebilirim; Üstelik siber suçlular da durmuyor ve insan tutkularını sömürmenin giderek daha fazla yeni yolunu buluyor. Ama sanırım burada durabiliriz. Resim zaten net ve bize durumun yakın gelecekte daha da kötüleşeceğini söylüyor. Dün, Moskova yetkilileri on milyon nüfuslu şehri kendi kendine tecrit altına aldı. Moskova bölgesi ve Rusya'nın diğer birçok bölgesinin yetkililerinin yanı sıra eski Sovyet sonrası bölgedeki en yakın komşularımız da aynısını yaptı. Bu, siber suçluların hedef aldığı potansiyel kurbanların sayısının kat kat artacağı anlamına geliyor. Bu nedenle, yakın zamana kadar yalnızca kurumsal veya departman ağını korumaya odaklanan güvenlik stratejinizi yeniden gözden geçirmek ve hangi koruma araçlarına sahip olmadığınızı değerlendirmek değil, aynı zamanda personel farkındalık programınızda verilen örnekleri de dikkate almak faydalı olacaktır. Uzaktan çalışanlar için bilgi güvenliği sisteminin önemli bir parçası haline geliyor. A bu konuda size yardım etmeye hazırız!
PS. Bu materyalin hazırlanmasında Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security ve RiskIQ şirketleri, ABD Adalet Bakanlığı, Bleeping Computer kaynakları, SecurityAffairs vb. kaynaklardan materyaller kullanılmıştır.
Kaynak: habr.com