Henüz keşfedilmemiş (zero-day) sistem açıklarını kullanan
saldırılar en tehlikeli siber tehditler arasında yer alıyor, çünkü saldırıya
uğrayan kişiye öncesinde söz konusu açığı kapatma ve kendini savunma fırsatı
vermiyor. Bu tür açıklardan faydalanmak üzere tasarlanan saldırılar, çoğu zaman
siber saldırganların tüm sistemin kontrolünün ele geçirmelerine neden oluyor.
Özellikle APT türü sofistike saldırılar bu senaryoyu sıklıkla hayata geçiriyor
ki, son tespit edilen saldırı da bu gruba dahil.
Söz konusu microsoft windows saldırısı, PowerShell üzerinde
yeni keşfedilen bir açığı kullanarak gerçekleştiriliyor. Saldırgan buradan
sisteme sızarak sistemi ele geçirmesine yardımcı olacak ayrıcalıkları
tanımlıyor. Son derece iyi kodlanmış olan saldırı, pek çok Windows sürümüne
saldırarak etkisi altına alabilme yeteneğine sahip.
Saldırı, geçtiğimiz yaz aylarının sonlarında Orta Doğu’da
yer alan bir düzine civarında organizasyonu hedef aldığı sırada keşfedildi.
Saldırının arkasında daha önce de PowerShell arka kapılarını kullanmasıyla ünlü
FruityArmor grubunun olduğu düşünülüyor. kaspersky lab uzmanları durumu fark
ettikleri anda açığı Microsoft’a bildirdi.
Kaspersky Lab güvenlik ürünleri saldırıyı ortaya çıkarmak
için aşağıdaki teknolojileri kullandı:
Kaspersky Lab ürünlerinde yer alan davranışsal algılama
motoru ve Automatic Exploit Prevention bileşenleri,
Kaspersky Anti Targeted Attack Platform’un bir parçası olan
Advanced Sandboxing ve Antimalware motoru.
Kaspersky Lab Güvenlik Uzmanı Anton Ivanov, konuya
ilgili değerlendirmesinde şunları söyledi: “Sıfır gün açıkları söz
konusu olduğunda yeni saldırı tekniklerine karşı tetikte olmak büyük önem
taşır. Kaspersky Lab bünyesinde gerçekleştirdiğimiz sürekli tehdit analizleri
sadece yeni tehditleri ve hedefleri ortaya çıkarmakla kalmıyor, siber
saldırganların kullandığı tekniklerin gelişimini de takip ediyor. Tüm bu
araştırmalarımız sayesinde benzer saldırıları engellemek üzere kurgulanmış bir
güvenlik teknolojileri katmanına sahibiz” diye konuştu.
Kaspersky Lab, buna benzer saldırılardan korunmak için
aşağıdaki önlemleri almanızı öneriyor:
Üzerinde bilinen açıklar olan ve yakın zamanda siber
saldırılarda kullanılmış yazılımları kullanmaktan kaçının.
Kullandığınız yazılımların güncellemelerini düzenli olarak
yaptığınızdan emin olun. Vulnerability Assessment (güvenlik açığı
değerlendirmesi) ve Patch Management (yama yönetimi) özelliklerine sahip
güvenlik çözümleri kullanın.
Bilinen ve henüz keşfedilmemiş saldırılara karşı aktif
olarak koruma sağlayan davranışsal tehdit algılama yeteneğine sahip Kaspersky
Endpoint Security for Business gibi çözümlerden yararlanın.
