Bulut Uygulamaları Çoğu Malware İndirmesinde Kaynak Olarak Web’in Yerini Aldı
Yeni araştırmalara göre, geçen yıl kurumsal ağlara dağıtılan tüm malware'lerin üçte ikisi Google Drive, OneDrive gibi bulut uygulamalarından ve diğer çok sayıda bulut uygulamasından kaynaklandı.
Yeni araştırmalar, günümüzde kurumsal kuruluşların bulut uygulamalarından malware indirmeleri deneyimleme olasılığının diğer kaynaklara göre çok daha yüksek olduğunu gösteriyor.
Netskope'deki araştırmacılar yakın zamanda müşteri ağlarından toplanan verileri analiz ettiler ve 1 Ocak 2020 ile 30 Kasım 2021 arasında kurumsal ağlara indirilen kötü amaçlı yazılımların üçte ikisinden fazlasının bulut uygulamalarından kaynaklandığını keşfettiler. Güvenlik sağlayıcısı, bulut tarafından sağlanan kötü amaçlı yazılımın, Web ve kötü amaçlı yazılım yüklü web siteleri aracılığıyla iletilen kötü amaçlı yazılımlardan daha yaygın hale geldiğini tespit etti.
Netskope Threat Labs direktörü Ray Canzanese, geçişin çoğunun saldırganlar için kolaylık ve maliyetle ilgili olduğunu söylüyor.
Bulut depolama uygulamaları, ücretsiz veya düşük maliyetli dosya barındırma hizmetleri sunar ve saldırganlara birçok potansiyel kurbana ulaşmanın bir yolunu sunar. "Bir kuruluşta tutunmaya çalışan saldırganlar, bir kullanıcının Google Drive gibi düzenli olarak kullandığı bir hizmete bağlantı açma olasılığının daha yüksek olduğunu bilir" diyor. "Saldırgan bana Dropbox'tan dosya indirmem için bir bağlantı gönderdiyse, Dropbox'ı iş için nadiren kullandığım için tıklayamayabilirim."
Önemli bir şekilde, yaygın olarak kullanılan birçok bulut uygulamasının kötüye kullanılması nispeten önemsizdir, ancak büyük bulut hizmeti sağlayıcıları kötü amaçlı etkinlikleri hızlı bir şekilde tespit etme ve ortadan kaldırma konusunda daha iyi hale geliyor. Canzanese, saldırganların birçok bulut depolama uygulaması için kolayca ücretsiz bir hesap oluşturabileceğini ve onlara kötü amaçlı yazılım örnekleri yüklemeye başlayabileceğini söylüyor.
"Ardından, yerel olarak uygulama aracılığıyla veya herkesin erişebileceği bir bağlantı oluşturarak ve e-posta, sosyal medya, kötü amaçlı web siteleri, metin mesajları veya başka yollarla paylaşarak bu içeriğe bağlantılar paylaşırlar" diye belirtiyor.
Netskope'nin analizi , Google Drive'ın, saldırganların kurumsal ağlara kötü amaçlı yazılım dağıtmak için en sık kullandığı bulut uygulaması olarak Microsoft OneDrive'ın yerini aldığını gösterdi. Aslında, 2021'deki çoğu kötü amaçlı bulut yazılımı, Google Drive aracılığıyla barındırıldı ve dağıtıldı.
Aynı zamanda, silahlaştırılmış Microsoft Office belgeleri aracılığıyla yayılan kötü amaçlı yazılım, tüm kötü amaçlı yazılım indirmelerinin %37'sine sıçradı - 2020'nin başındaki %19'dan neredeyse iki katına çıktı. Artan hacmin en azından bir kısmı, aşağıdakileri içeren bir spam kampanyasıyla ilgiliydi. 2020'nin ikinci çeyreğinde, kötü amaçlı Microsoft Office belgelerinin kullanımını içeren Emotet Truva Atı. O zamandan beri, çok sayıda başka saldırgan taktiği kopyaladı ve son altı çeyrekte kötü amaçlı yazılım dağıtmak için Office belgelerinin kullanımında istikrarlı bir artışa katkıda bulundu.
Canzanese, "Şirketinizin kullandığı bulut uygulamaları ne olursa olsun, saldırganlar bunları kötüye kullanıyor" diyor.
Google Drive, OneDrive ve Box saldırganların favorileridir. Ancak, saldırganların malware dağıtmak için kullandığı tek bulut uygulamaları açık farkla bunlar değil. Netskope, 2021'de 230 farklı bulut uygulamasından kötü amaçlı yazılım indirmelerini engelledi. "Birçok kuruluşun güvendiği uygulamaların bu listede olma ihtimali yüksek" diye belirtiyor.
Yeni Zorluk
Güvenlik ekipleri için bulut tabanlı kötü amaçlı yazılım dağıtımına geçiş yeni bir zorluk sunuyor.
Canzanese, "Kullandığımız uygulamalara güvenme yaklaşımını benimseyen kuruluşlar, bu uygulamalardan yapılan indirmeleri ve yüklemeleri tarayan daha savunmacı bir politikaya geçmelidir." Kuruluşların, kaynaktan bağımsız olarak, kullanıcıların yüklediği ve indirdiği içeriği taramaya sıfır güven yaklaşımı benimsemesi gerekir. Ayrıca, kuruluşların bulut uygulaması hesaplarını korumak için tek oturum açma ve çok faktörlü kimlik doğrulama kullanma ihtiyacının da önemli olduğunu belirtiyor.
Netskope'un analizi, tehdit aktörlerinin kimlik bilgisi saldırılarında yönetilen bulut uygulamalarını veya Google Workspaces veya Office 365 gibi merkezi bir BT işlevinin yönetebileceği bulut uygulamalarını da aktif olarak hedeflediğini gösterdi. Çoğu durumda amaç, bu uygulamalarda depolanan verilere erişmeye çalışmak veya uygulamayı, güvenliği ihlal edilmiş bir ağda daha geniş bir yer edinmek için kullanmaktır.
Canzanese, hem bulut hizmeti sağlayıcılarının hem de kurumsal güvenlik ekiplerinin, bulut uygulamalarını kötüye kullanan saldırganlardan bir adım önde tutan zorluklarla karşı karşıya olduğunu söylüyor. Ancak bazı bulut sağlayıcıların saldırganlar için işleri zorlaştırdığını söylüyor.
Google Drive ve OneDrive gibi hizmetler kötü amaçlı yazılım taraması yapar, bu da saldırganların otomatik olarak algılanamayan ve engellenemeyen yükler oluşturması gerektiği anlamına gelir. Bir saldırı keşfedildiğinde, bu tür hizmetler genellikle etkinliği durdurmakta hızlıdır, bu da tehdit aktörlerinin bir saldırı gerçekleştirmek için yalnızca sınırlı bir zaman penceresine sahip olduğu anlamına gelir, diyor.
Canzanese, "Çoğu bulut hizmeti sağlayıcısı için bir zorluk, saldırıların keşfedildikten sonra hızla durdurulmasını sağlamak için kötüye kullanım bildirimlerine zamanında yanıt vermektir."
Kaynak: https://www.darkreading.com/cloud/cloud-apps-replace-web-as-source-for-most-malware-downloads
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.