A HP Inc. 2022. december 1-én kiadta harmadik negyedéves HP Wolf Security Threat Insights jelentését, melyben megállapította, hogy a tömörített fáljformátumok – – például ZIP és RAR fájlok – felelősek leggyakrabban a rosszindulatú programok (pl. vírus) szállításáért – három év után először felülmúlva az Office fájlokat. A jelentés többek között tartalmazza a kibertámadások elemzését is, segítve az erre szakosodott szervezeteket, cégeket abban, hogy lépést tudjanak tartani a legújabb technikákkal, melyeket a kiberbűnözők használnak. Tehát a HP jelentése kétségtelenül sokat segít a felderítésben, ami a jelenlegi gyorsan változó kiberbűnözési környezetben nagyon sokat jelent.
A HP Wolf Security-t futtató gépek millióitól származó adatok alapján a kutatás megállapította, hogy a rosszindulatú programok 44%-a tömörített fájlok tartalmaként került fel az áldozatok gépére – ez 11%-os növekedés az előző negyedévhez képest. Ehhez képest az eddig listavezető Office fájlok (pl.: a Microsoft Word, az Excel, a PowerPoint) 32%-on áll ezen időszakban.
A jelentés számos olyan technikát is azonosított, amely a tömörített fájlok használatát új HTML csempészési technikákkal kombinálta – ez azt jelenti, hogy a kiberbűnözők rosszindulatú tömörített fájlokat ágyaznak be HTML-fájlokba, hogy megkerüljék az e-mail átjárókat –, majd aztán támadásokat indíthassanak.
Például a legutóbbi QakBot és IceID kampányok HTML fájlokat használtak arra, hogy a felhasználókat az Adobe-nak álcázott hamis online dokumentumnézőkhöz irányítsák. Ezután a felhasználókat arra utasították, hogy nyissanak meg egy ZIP fájlt, és adjanak meg egy jelszót a fájlok kicsomagolásához, amelyek aztán kártevőt telepítettek a számítógépükre.
Mivel az eredeti HTML fájlban található rosszindulatú program kódolt és titkosított, az e-mailen keresztüli, vagy más biztonsági eszközök általi észlelése nagyon nehéz. Ehelyett a támadó a social engineeringre támaszkodik, és egy meggyőző és jól megtervezett weboldalt hoz létre, hogy a rosszindulatú ZIP fájl megnyitásával rávegye az embereket arra, hogy ’saját magukkal toljanak ki’. Októberben ugyanezeket a támadókat hamis Google Drive oldalak használatán is rajtakapták – ez esetben is hasonló módszerrel próbálkoztak: a felhasználókat rosszindulatú ZIP fájlok megnyitására próbálták rávenni.
A tömörített fájlok könnyen titkosíthatók, így a fenyegetést küldők elrejthetik a rosszindulatú programokat, és kicselezhetik a webes proxykat, sandboxokat vagy e-mail-ellenőrzőket. Ez megnehezíti a támadások észlelését, különösen, ha HTML csempészési technikákkal kombinálják. A QakBot és az IceID kampányban az volt az érdekes, hogy milyen erőfeszítéseket tettek a hamis oldalak létrehozására – ezek a kampányok meggyőzőbbek voltak, mint amit korábban láttunk, és megnehezítette az emberek számára, hogy észleljék/tudják, mely fájlokban bízhatnak meg és melyekben nem.” – magyarázta Alex Holland, aki Senior Malware Analyst a HP Wolf Security-nél.
A HP egy olyan összetett módszert is azonosított, amely moduláris fertőzési láncot használ, mely potenciálisan lehetővé teheti a támadók számára, hogy a fertőzési folyamat közepén változtassák meg magát a fertőző fájlt – például spyware-t, ransomware-t, keyloggert –, vagy új funkciókat vezessenek be, például a geo-fenceinget. Ez lehetővé teheti a támadó számára, hogy taktikát változtasson attól függően, hogy a célpont miféle. Azáltal, hogy a rosszindulatú programokat nem közvetlenül a célpontnak küldött mellékletbe helyezik, az e-mail ellenőrzők is nehezebben észlelik az ilyen típusú támadásokat.
„Mint látható, a támadók folyamatosan változtatják a technikákat, ami nagyon megnehezíti az észlelési eszközök dolgát” – kommentálta Dr. Ian Pratt, a HP Inc. személyi rendszerek biztonsági részlegének globális vezetője. „A Zero Trust elvét követve , a szervezetek mikrovirtualizációt használhatnak annak biztosítására, hogy a potenciálisan veszélyt jelentő lépések – például a hivatkozásokra kattintás vagy a rosszindulatú mellékletek megnyitása – egy eldobható virtuális gépben, az alapul szolgáló rendszerektől elkülönítve kerüljenek végrehajtásra. Ez a folyamat teljesen láthatatlan a felhasználó számára, és csapdába ejti a benne rejtett rosszindulatú programokat, biztosítva, hogy a támadók ne férhessenek hozzá az érzékeny adatokhoz. Továbbá ez megakadályozza azt is, hogy a támadok hozzáférést kapjanak és bekerüljenek a rendszerbe.”
A HP Wolf Security szándékosan teszteli ezen támadásokat, például megnyitják a potenciálisan veszélyes e-mail mellékleteket, letöltenek gyanús fájlokat, vagy érdekes hivatkozásokra (linkekre) kattintanak – mindezt az említett virtuális gépeken (avagy micro-VM-eken) teszik, hogy tapasztalatot nyerjenek és megvédjék a felhasználókat és rögzítsék a fertőzési kísérletek részletit. A HP alkalmazás-izolációs technológiája mérsékli azokat a fenyegetéseket, amelyek más biztonsági eszközökön túlléphetnek továbbá, egyedülálló betekintést nyújt az új behatolási technikákba és a fenyegetések szereplőinek viselkedésébe.
Ezen technikák segítségével a HP Wolf Security konkrét betekintést nyer a kiberbűnözők által használt legújabb technikákba. A HP ügyfelei a mai napig 18 milliárd emailre, weboldalra és letöltött fájlra kattintottak úgy, hogy nem érkezett panasz.
techkalauz.hu – az online techmagazin
