Siber suçlular, geleneksel web tarayıcı güvenlik önlemlerini ve uç nokta tespit sistemlerini atlatmak için yenilikçi yöntemler geliştirmeye devam ediyor. Cofense İstihbarat Ekibi'nin son raporuna göre, hackerlar artık kurbanlarına kötü amaçlı yazılım bulaştırmak için Windows Dosya Gezgini'ndeki eski bir özelliği kullanıyor.

WebDAV Açığı Nedir?

WebDAV, aslında uzaktan dosya yönetimi için tasarlanmış eski bir HTTP tabanlı ağ protokolüdür. Microsoft, Kasım 2023'te Windows Dosya Gezgini'ndeki yerel WebDAV desteğini resmi olarak kullanımdan kaldırmış olsa da, bu işlev çoğu sistemde hala erişilebilir durumda. Saldırganlar, Dosya Gezgini'ni doğrudan uzak WebDAV sunucularına bağlanmaya zorlayan kötü amaçlı bağlantılar göndererek bu eski desteği suistimal ediyorlar.

Bu bağlantı web tarayıcılarını tamamen atladığı için, kurbanlar standart tarayıcı tabanlı güvenlik uyarılarını veya indirme onaylarını görmüyor. Uzaktaki sunucu basitçe yerel bir klasör gibi görünüyor ve indirilen dosyaların güvenli ve yerel olarak depolandığı izlenimini yaratıyor.

Saldırganların Kullandığı Temel Yöntemler

Hackerlar, genellikle uzak bir sunucunun kök dizinini hedeflemek için DavWWWRoot anahtar kelimesine güvenerek bu istismarı üç temel yöntemle gerçekleştiriyor:

• Doğrudan Bağlantı: Tehdit aktörleri, uzak klasörleri doğrudan sistemin dosya tarayıcısında açmak için file:// URI şemasını kullanır.
• URL Kısayol Dosyaları (.url): Bu dosyalar, uzak sunuculara HTTP veya HTTPS üzerinden görünmez bir şekilde erişmek için Windows UNC yollarını kullanır.
• LNK Kısayol Dosyaları (.lnk): Bu kısayollar genellikle, uzaktan barındırılan kötü amaçlı betikleri sessizce indirmek ve çalıştırmak için Komut İstemi veya PowerShell'i çağıran gizli komutlar içerir.

Tıklamaya Bile Gerek Kalmayan Tehlike

Bu taktiği son derece sinsi yapan teknik bir detay daha var: Bir kullanıcı, UNC yolu içeren kötü amaçlı bir .url dosyasının bulunduğu yerel bir dizini açtığında, Windows otomatik olarak bir DNS araması tetikliyor. Bu durum, kullanıcı dosyaya hiç tıklamasa bile saldırganın altyapısına bir TCP SYN paketi göndererek onlara sistemin aktif olduğunu bildiriyor.

Sonuç ve Korunma Yolları

Siber saldırganların eski ve unutulmuş protokolleri kullanarak modern güvenlik sistemlerini atlatabilmesi, kurumların ve bireylerin siber hijyen konusunda ne kadar dikkatli olması gerektiğini bir kez daha gösteriyor. Kaynağı belirsiz ağ sürücülerine ve şüpheli kısayol dosyalarına karşı her zamankinden daha şüpheci yaklaşmak, bu tür sessiz tehditlere karşı en etkili savunma hattıdır.