Microsoft’un 2023 sonlarında yaptığı Windows güncellemesi, kötü amaçlı yazılımların güvenlik filtrelerini aşmasını kolaylaştırarak siber güvenlik uzmanlarını endişelendirdi. Yeni arşiv formatlarının yerel desteği, saldırı vektörlerini genişletti.
Arşiv dosyaları neden popüler bir saldırı aracı
Siber suçlular, uzun zamandır arşiv dosyalarını kötü amaçlı yazılımları yaymak için kullanıyor. Bu dosyalar, e-posta güvenlik ağlarını (SEG) aşmak için etkili bir yol olarak öne çıkıyor. Ancak Microsoft’un .rar, .7z ve .tar gibi formatlara getirdiği yerel destek, tehdit aktörlerine daha fazla fırsat sundu. Araştırmalar, bu formatların kötü amaçlı yazılım eklerinde kullanımının hızla arttığını ortaya koyuyor.
Arşiv dosyalarının saldırılarda sık kullanılmasının temel nedeni, otomatik analiz araçlarını yanıltmalarıdır. Şifre korumalı dosyalar, bu araçların içeriklerini incelemesini zorlaştırarak saldırganlara avantaj sağlıyor. 2023 ile 2024 arasında yapılan bir araştırma, kötü amaçlı yazılım kampanyalarında 15 farklı arşiv formatının kullanıldığını ortaya koydu. .zip formatı hâlâ yaygın bir şekilde kullanılırken, .rar ve .7z gibi formatların kullanımı Microsoft’un güncellemesinden sonra ciddi bir artış gösterdi.
Özellikle bazı kötü amaçlı yazılım aileleri belirli arşiv formatlarını tercih ediyor. Örneğin, StrelaStealer ve NetSupport RAT genellikle .zip dosyalarıyla dağıtılıyor. Bilgi çalıcılar ve uzaktan erişim truva atları (RAT) ise farklı formatlar kullanarak güvenlik çözümlerini aşmayı başarıyor.
Şifre korumalı arşiv dosyaları, SEG sistemleri için büyük bir zorluk oluşturuyor. Bu dosyalar genellikle lure (tuzak) e-postalarında gömülü şifrelerle geliyor ve SEG’ler bu şifreleri çözmekte zorlanıyor. Ayrıca, dosyalara eklenmiş kötü amaçlı yazılımların URL’leri saldırıların etkisini artırıyor.
Arşiv tabanlı tehditlerin önüne geçmek için şirketler çok katmanlı bir savunma stratejisi benimsemeli. Çalışan farkındalığı bu noktada kritik bir rol oynuyor. Çalışanların, özellikle alışılmadık uzantılara veya çift uzantı içeren dosyalara karşı dikkatli olması gerekiyor. Örneğin, “.docx.zip” gibi uzantılar kötü amaçlı yazılımlara işaret edebilir.
Ayrıca, iş amacı taşımayan arşiv formatlarının e-posta kullanımının kısıtlanması tavsiye ediliyor. SEG sistemlerinin, şifre korumalı dosyaları analiz edebilmesi ve dosya formatlarını doğru şekilde tespit edebilmesi için gelişmiş yeteneklerle donatılması gerekiyor.
Microsoft’un yeni dosya formatlarına getirdiği destek, teknoloji dünyasında kullanıcı deneyimini iyileştirirken, siber güvenlik risklerini de artırdı. Şirketlerin bu tür tehditlere karşı proaktif çözümler geliştirmesi, gelecekteki saldırılara karşı kritik bir öneme sahip.
