Web sitelerinde işlem yaparken karşılaşılan ve “Ben robot değilim” güvenlik testi olarak bilinen CAPTCHA, artık siber saldırganların en yeni sosyal mühendislik araçlarından biri haline geldi. Siber saldırganlar bu yöntem ile kullanıcıları, sahte doğrulama ekranları aracılığıyla Windows Çalıştır penceresini açmaya ve panoya otomatik kopyalanan gizlenmiş PowerShell komutlarını manuel olarak çalıştırmaya yönlendiriyor. Belirtilen adımları tamamlayan kullanıcılar, sistemlerine kötü amaçlı yazılım yüklenip çalıştırılmasına zemin hazırlıyor. İlk bakışta anlaşılması zor olan bu yöntem, çok katmanlı gizleme teknikleriyle desteklenerek, geleneksel antivirüs ve güvenlik çözümlerinden kaçınmayı başarıyor. Araştırmalar, sadece iki ay içinde 4,3 milyondan fazla kullanıcıya etki eden saldırının en fazla Amerika Birleşik Devletleri, Brezilya, Hindistan, Batı Avrupa ve orantılı olarak bazı Balkan ve Afrika ülkelerinde gerçekleştirildiğini ortaya koydu. Meşru sistem araçlarına ve kullanıcı etkileşimine dayanan sahte CAPTCHA saldırısının, geleneksel antivirüs algılama mekanizmalarını atlatması nedeniyle kötü amaçlı yazılım yayılımında dikkat çekici bir evrim olduğunu ifade eden Bitdefender Antivirüs Türkiye distribütörü Laykon Bilişim’in Operasyon Direktörü Alev Akkoyunlu, sahte CAPTCHA saldırısının detaylarını ve korunma yöntemlerini sıralıyor.
Gerçek Gibi Görünen Tasarım Detayları Kullanıcıyı Yanıltıyor
Sahte CAPTCHA saldırısı, kullanıcıların Google CAPTCHA’ya benzeyen bir doğrulama ekranıyla karşılaşmasıyla başlıyor. Ancak burada kullanıcıdan görüntü seçmek ya da kutucuğu işaretlemek yerine, “tarayıcı kontrolünü tamamlamak” amacıyla birkaç basit klavye kısayolunu uygulaması isteniyor. İlk olarak, Windows + R tuşlarına basarak Çalıştır penceresini açmaları isteniyor. Ardından, Ctrl + V ile panoya otomatik olarak kopyalanan komutu yapıştırmaları ve Enter tuşuna basarak komutu çalıştırmaları bekleniyor. Ancak bu basit gibi görünen işlem zinciri, saldırganlar tarafından gizlenmiş zararlı bir PowerShell komutunun aktive edilmesini sağlıyor.
Saldırganlar, bu sahte doğrulama ekranını gerçek bir güvenlik kontrolüne benzetmek için görsel detaylara özen gösteriyor ve resmi bir dil kullanıyor. Gözlemlenen vakalarda, PowerShell komutları doğrudan sistem belleğinde çalışacak şekilde tasarlanıyor. Böylece diske herhangi bir dosya yazılmadan kötü amaçlı yazılım arka planda etkin hale geliyor. Bu durum, saldırının tespit edilmesini ciddi şekilde zorlaştırıyor.
Alınması Gereken 6 Temel Güvenlik Önlemi
1. Tarayıcı güvenlik ayarlarını kontrol edin. Tarayıcıların pano (clipboard) içeriğine erişimini sınırlandıracak şekilde yapılandırılması, kötü niyetli sitelerin otomatik olarak komut yerleştirmesini engellemede ilk adımı sağlıyor.
2. Gerçek CAPTCHA sistemleri hakkında bilgi edinin. Kullanıcılar, meşru CAPTCHA süreçlerinin hiçbir zaman sistem komutu çalıştırmayı gerektirmediğini net şekilde bilmeli. Bu farkındalık, sosyal mühendislik tabanlı tuzaklara karşı en etkili savunmalardan biridir.
3. Güvenlik bilinci eğitimleri sağlayın. Hem bireysel kullanıcılar hem de çalışanlar için hazırlanacak temel siber güvenlik eğitimlerinde, bu tip saldırıların nasıl işlediği örnekleriyle anlatılmalı. Özellikle, Windows Çalıştır penceresi veya komut istemi üzerinden yönlendirilen işlemlere karşı dikkatli olunması gerektiği vurgulanmalıdır.
4. EDR çözümlerini aktif kullanın. Uç nokta tespit ve yanıt (EDR) sistemleri, olağan dışı PowerShell çalıştırmalarını ve sistem davranışlarını algılayacak şekilde yapılandırılmalı. Bu çözümler, anormal süreçlerin tespit edilmesinde kritik rol oynuyor.
5. Ağ güvenliğini saldırı izlerine göre yapılandırın. Saldırganların kullandığı yöntemler, ağ trafiğinde belirli kalıplar bırakıyor. Güvenlik duvarları ve ağ izleme çözümleri, zararlı yazılım yüklemeleri ya da komut kontrol (C2) iletişimleri gibi trafiği ayırt edecek şekilde güncellenmesi önem taşıyor.
6. PowerShell ve uygulama politikalarını sınırlandırın. Kurumsal sistemlerde PowerShell kullanımını sadece yetkili kullanıcılarla sınırlamak, saldırganların kötü niyetli komut yürütmesini engellemede büyük avantaj sağlıyor. Ayrıca uygulama beyaz listeleri, yalnızca güvenilir yazılımların çalışmasına izin vererek tehdit yüzeyini daraltabiliyor.
Kaynak : 