Saldırılar

Yeni Phishing Saldırısı: NoRelationship

Avanan araştırmacıları, son günlerde yeni bir phishing saldırısı keşfetti. Bu saldırı, bazı e-posta filtreleme yazılımlarını atlatabiliyor.

Ali
Çar, 20/02/2019 - 23:54
Yeni Phishing Saldırısı: NoRelationship

Avanan araştırmacıları, son günlerde yeni bir phishing saldırısı keşfetti. Bu saldırı, bazı e-posta filtreleme yazılımlarını atlatabiliyor.

Araştırmacılar, NoRelationship adını verdikleri bu yeni phishing saldırısının, başta EOP (Exchange Online Protection) filtresi olmak üzere bazı e-posta filtreleme yazılımlarını atlatabildiğini söyledi.

NoRelationship saldırısı, kurbanları kötü amaçlı bir bağlantıya yönlendirmek için bir .docx eki içeriyor ve tüm belgeyi taramayan e-posta filtreleri bu saldırıda etkisiz kalıyor.

Office belgeleri (.docx, .xlsx, .pptx), belgeyi oluşturan tüm yazı tiplerini, resimleri, biçimlendirmeleri ve çeşitli yapılandırmaları içeren bir dizi XML dosyasından oluşur. 

Bir Office belgesinde bir bağlantı varsa bu bağlantılar .xml.rels dosyasının içindedir. İşte tamda burada NoRelationship saldırısı devreye girmektedir.

Çoğu e-posta filtreleme yazılımı bir Office belgesindeki bağlantıların kötü amaçlı sitelere yönlenip yönlenmediğini kontrol etmek için .xml.rels uzantılı dosyaya bakar ve buradaki bağlantıları kötü amaçlı sitelerin bulunduğu veritabanına göre karşılaştırır.

Saldırgan eğer belgedeki bağlantıları .xml.rels dosyasından silerse, filtreleme yazılımı sadece .xml.rels dosyasına baktığı için kötü amaçlı bağlantıları tespit edemez ve böylelikle NoRelationship saldırısı gerçekleşmiş olur.

Avanan araştırmacıları, NoRelationship saldırısından hangi e-posta filtreleme yazılımlarının etkilendiğini ise aşağıdaki tabloda belirtti:

Yeni Phishing Saldırısı NoRelationship

Araştırmacılar, NoRelationship saldırısından korunmak için ise belgedeki tüm dosyaların taranması gerektiğini söyledi.