Siber güvenlik firması Check Point, “FileFix” ismi verilen yeni bir hack sistemine karşı uyardı.
Yöntem siber hatalıların kullanıcıları kandırarak ziyanlı komutlar çalıştırmasını sağlıyor ve önemli güvenlik riskleri oluşturuyor. Üstelik kullanıcılar kandırıldıkları sırada kendi bilgisayarları tarafından rutin süreçler yapmaya sevk ediliyor.
NASIL İŞLİYOR?
FileFix, daha evvel yaygın halde kullanılan “ClickFix” tekniğinin bir türevi. ClickFix, Windows’un “Çalıştır” penceresi üzerinden makûs emelli komutlar çalıştırmak için kullanıcıları kandırıyordu. Çalıştır, Windows işletim sistemlerinin en çok kullanılan araçlarından biri. Bu pencere bilgisayarda rastgele bir süreci yapmak ya da rastgele bir uygulama ya da programı açmak için kullanılıyor.
FileFix ise direkt bir internet sayfasından Windows Evrak Gezgini’ni açıyor ve gizlenmiş bir PowerShell komutunu kullanıcının panosuna otomatik olarak yüklüyor. PowerShell, Windows’un bilgisayardaki süreçleri otomatikleştirmek için geliştirdiği bir araç. Bu durumda ise ziyanlı bir yazılımı sürece almış oluyor.
Saldırı metodu adım adım şu formda işliyor:
– Geçersiz bir web sayfası açılıyor (örneğin “görsel doğrulama” ya da “belge paylaşımı” gibi).
– Bu sayfa, “Dosya Gezgini’ni aç” butonuna “tıkla” dedikten sonra explorer.exe’yi başlatıyor.
– Tıpkı anda JavaScript ile ziyanlı bir PowerShell komutu panoya kopyalanıyor.
– Sayfa kullanıcıya “Adres çubuğuna yapıştır ve enter tuşuna bas” talimatı veriyor. Böylelikle Windows ziyanlı PowerShell komutunu art planda çalıştırıyor.
RUTİN DAVRANIŞLARI AMAÇ ALIYOR
Kısacası birçok durumda neler olduğunu anlamayabilecek kullanıcılar, bilgisayarından gelen komutları takip ederek ziyanlı yazılımı çalıştırmış oluyor. Bu hücumun rastgele bir yazılım açığından değil, büsbütün rutin kullanıcı davranışlarını ve kullanıcı inancını suistimal ederek gerçekleştirildiği vurgulanıyor.
Check Point araştırmacıları, makus niyetli aktörlerin FileFix usulünü hâlihazırda kullanmaya başladığını ve lakin şu anda yüklenen belgelerin zararsız olduğunu lisana getirdi. Buna nazaran saldırganlar muhtemelen gerçek ziyanlı yazılımlardan evvel deneme yapıyor.
IT Pro’ya konuşan uzmanlar, FileFix’in kamuya açıklanmasından sırf günler sonra alanda kullanılmaya başlanmasının, saldırganların yeni prosedürlere ne kadar süratli adapte olduğunu da ortaya koyduğunu belirtiyor.
Siber güvenlik firması Huntress’ın güvenlik operasyonları yöneticisi Dray Agha, “Saldırganlar, Windows’un temel işleyiş biçimlerini gaye alarak savunmaların uygulanmasını giderek zorlaştırıyor. Ziyanlı PowerShell komutlarını standart güvenlik ikazları tetiklenmeden çalıştırabiliyorlar” dedi.
Agha, FileFix’in yaygın ve başarılı biçimde kullanıldığını ve çok sayıda kullanıcının bu tekniğe kandığını söyledi.
NASIL KORUNMALI?
Check Point uzmanları, bu cins ataklara karşı korunmak için bilhassa bilişim güvenlik takımlarına şu tekliflerde bulundu:
– Düzmece doğrulama sayfaları ve tanınan hizmetlerin taklit edildiği kimlik avı (phishing) sitelerini yakından izleyin. Bilhassa Cloudflare gibisi şablonlar kullanan geçersiz sayfalara dikkat edin.
– Panoya kopyalanan içerikler ve kullanıcı etkileşimiyle tetiklenen olağandışı PowerShell çalıştırmalarını algılayacak kuralları uygulayın ve daima güncelleyin.
– Toplumsal mühendislik trendlerini takip edin, çalışan eğitimlerini, olay müdahale planlarını ve güvenlik protokollerini nizamlı olarak güncelleyin.
– “Doğrulama kültürü” oluşturun. Çalışanlar alışılmadık yahut beklenmedik talepleri kesinlikle ilgili güvenlik ünitesiyle teyit etmeden uygulamamalı.
Öte yandan kullanıcı farkındalığı bu çeşit akınların tesirini azaltmada en kıymetli savunma çizgisi olmaya devam ediyor. Ferdi kullanıcıların da şu mevzularda dikkatli olması tavsiye edildi:
– Kopyala-yapıştır üzere alışılmadık aksiyonlar isteyen e-postalara ve web sayfalarına karşı son derece kuşkucu olun.
– Gerçek internet siteleri yahut yazılımlar, problemleri düzeltmek için manuel komut yürütmenizi nadiren ister.
