Siber Suçlular Kullanıcılar Çevrimiçi Olduğunda Uygulamalara Saldırıyor

Fortinet Tehdit Görünümü Raporu, botnetlerin büyük çoğunluğunun yerleşik altyapılardan faydalandığını ortaya koyarak, tehditlerin yaklaşık yüzde 60’ının en az bir etki alanını (domain) kullandığını gösteriyor.

Fortinet, her çeyrekte yayınlanan Tehdit Görünümü Raporu’nun en güncel bulgularını açıkladı. Rapora göre, suçlular kazanımlarını artırmak için özel tasarlanmış fidye yazılımlar ve bazı saldırılara özel kodlamadan, gizlenmek için yasal görünen araçlardan faydalanma (living-off-the-land-LoTL) tekniğine ya da altyapı paylaşımına kadar saldırı yöntemlerini daha da sofistike hale getirmeye devam ediyor.

Fortinet Bölge Teknoloji Direktörü Melih Kırkgöz raporun bulgularını şöyle değerlendirdi: “Maalesef, siber suçlular topluluğunun ulus-devlet aktörlerinin strateji ve metodolojilerini yansıtmaya devam ettiğini görüyoruz. Siber suçlular hedefledikleri cihazları ve ağları geliştiriyor. Kurumlar, geleceğe hazırlanmak ve siber riskleri yönetmek için stratejilerini gözden geçirmelidir. Bu anlamda atılacak ilk adım, temel ilkeleri layıkıyla yerine getirerek savunma için hız ve bağlanırlık gibi siber alanın temel ilkelerinden yararlanmayı gerektiren siber güvenliğe bir bilim gibi yaklaşmaktan geçiyor. Güvenliğe, makro ve mikro segmentasyona ‘fabric’ tabanlı bir yaklaşım getirmek ve yapay zekanın yapıtaşları olarak makine öğrenme ve otomasyondan yararlanmak siber suçluları sıfırdan başlamaya mecbur bırakmak için iyi bir fırsat sunabilir.”

Raporda öne çıkan bulgular şöyle:

Ele geçirme öncesi ve sonrası aksiyon trafiği: Tehdit aktörlerinin saldırı fazlarını haftanın farklı günlerinde gerçekleştirip gerçekleştirmediğini tespit etmeyi amaçlayan araştırmalar, siber suçluların her zaman hedeflerinden maksimum fayda sağlamanın yollarını aradıklarını gösteriyor. Hafta içi ve hafta sonlarında iki siber saldırı yaşam döngüsü fazlarının web filtreleme hacimleri kıyaslandığında, ele geçirme saldırısı öncesi eylemlerin iş günlerinde gerçekleşme ihtimalinin yaklaşık üç kat daha yüksek olduğu, bu açıdan ele geçirme sonrası işlem trafiğinin ise daha az farklılaşma gösterdiği görülüyor. Bunun başlıca sebebi istismar eyleminin çoğu kez oltama (phishing) e-postasına tıklanması gibi bir biri tarafından alınması gereken bir aksiyon gerektirmesinden kaynaklanıyor. Buna karşılık, komuta ve kontrol (C2), herhangi bir aksiyon gerektirmez ve her zaman gerçekleşebilir. Siber suçlular bunu biliyor ve internet trafiğinin en üst seviyelerde olduğu hafta içi günlerinde bu fırsattan en iyi şekilde yararlanmaya çalışacaklar. Bu açıdan, hafta içi ve hafta sonu uygulanan web filtreleme uygulamalarının farklılaşmasının, çeşitli saldırıların yaşam döngüsünün bütünüyle anlaşılabilmesi için önemli olduğu görülüyor.

Tehditlerin büyük bir kısmı altyapıyı paylaşıyor: Farklı tehditlerin altyapı kullanımının hangi boyutlarda olduğu önemli trendler ortaya koyuyor. Bazı tehditler, ortak kullanılan altyapılardan, tekil ya da özel altyapılara göre daha fazla yararlanıyor. Tehditlerin yaklaşık yüzde 60’ı en az bir alanı (domain) kullanıyor; bu da botnetlerin büyük bir kısmının yerleşik altyapılardan faydalandığını gösteriyor. IcedID zararlı yazılımı, “ödünç alabilecekken neden satın alasın ya da kendin yapasın” şeklinde özetlenebilecek bu davranışa bir örnek olarak gösteriliyor. Buna ek olarak, tehditler altyapıyı kullandığında, bunu, siber saldırı yaşam döngüsünün aynı aşaması içinde yapmayı tercih ediyorlar. Bir tehdidin istismar için bir domain’den yararlanması ve onu daha sonra C2 trafiği için kullanması olağandışıdır. Bu durum, kötü niyetli kullanıldığında altyapının oynadığı özel rolü ve işlevi gözler önüne seriyor. Hangi tehditlerin altyapıyı kullandığının ve saldırı döngüsünün hangi noktalarında kullanıldığının anlaşılması, kurumların gelecekteki zararlı yazılım ya da botnetlerin potansiyel gelişim noktalarının öngörülmesini sağlar.

İçerik yönetimi sürekli yönetim gerektiriyor: Siber saldırganların, fırsatlardan en kısa sürede ve en üst seviyede fayda elde etmek için, istismar edilmiş zafiyetleri ve yükselişte olan teknolojileri hedefleyerek, bir fırsattan diğerine geçme eğiliminde oldukları görülüyor. Web ortamında bir kimlik inşa etmeleri için tüketicilerin ve işletmelerin işini kolaylaştıran web platformları, son zamanlarda siber suçluların dikkatini çeken yeni teknolojilere bir örnek olarak gösterilebilir. Üçüncü taraf eklentilerle ilişkili olsalar bile bu platformlar hedef alınmaya devam ediyor. Bu durum, yamaların anında uygulanmasının ve saldırganların bir adım ötesinde kalmak için istismarların sürekli değişen dünyasını tanımanın ne kadar kritik olduğunu gösteriyor.

Fidye yazılımlar hala büyük tehdit: Genellikle, fidye yazılımların geçmiş dönemlerdeki yoğun görülme oranları yerini daha spesifik hedefli saldırılara bıraksa da, fidye yazılımlar halen geçerliliğini koruyor. Hatta, çoklu saldırılar fidye yazılımların yüksek değerli hedefler ve saldırgana ağa imtiyazlı erişim sağlamak için tadil edildiğini gösteriyor. LockerGoga, çok aşamalı bir saldırıda kullanılan bir fidye yazılım örneğidir. LockerGoga’yı işlevsel gelişmişlik açısından diğer fidye yazılımlardan ayıran çok büyük bir farklılık bulunmuyor; ancak, fidye yazılım araçlarının büyük çoğunluğu atlatma tekniklerinden kaçınmak için belli ölçüde gizlenme taktiği uygulasa da, analiz edildiğinde bu taktiğin çok az kullanıldığı görülüyor. Bu durum, saldırının belirli bir hedefe yönelen yapısı olduğuna ve zararlı yazılımın kolayca tespit edilemeyeceğinin varsayıldığına işaret ediyor. Buna ek olarak, diğer çoğu zararlı yazılımlar gibi, Anatova da bulaştığı sistemin çalışabilirliğini etkileyebilecek herhangi bir şeyi sistematik olarak şifrelemek dışında, saldırdığı sistemde mümkün olduğunca çok sayıda dosyayı şifrelemeyi hedefliyor. Anatova, zararlı yazılım analizlerinde ve sanal tuzak olarak kullanıldığı görülen bilgisayarlara da bulaşmaktan kaçınıyor. Bu iki fidye yazılım türevi, güvenlik liderlerinin meta elde etmeyi amaçlayan fidye yazılımlarına karşı yamalama ve yedeklemelere odaklanmaya devam etmeleri gerektiğini gösteriyor. Ancak, daha spesifik hedefli tehditlerin kendilerine özgü saldırı yöntemlerinden korunmak daha özel niteliklerle tasarlanmış savunma pratikleri gerektiriyor.

“Gizlenmek için yasal görünen araçlardan faydalanma (Living off the land – LoTL)“ tekniğinin kullandığı taktikler ve araçlar: Tehdit aktörleri kurbanlarıyla aynı iş modellerini kullanarak çalıştıkları için, çabalarını artırmak amacıyla, sisteme ilk girişten sonra bile saldırı yöntemlerini geliştirmeye devam ediyorlar. Tehdit aktörleri, bunu başarmak amacıyla, çift kullanımlı araçlardan ya da hedefledikleri sistemlere siber saldırı düzenleyebilmek için daha önceden kurulan araçlardan giderek daha çok yararlanıyor. LoTL adı verilen bu yöntem, siber korsanların eylemlerini meşru süreçlere gizlemesini ve böylece savunma mekanizmaları tarafından kolayca tespit edilememesini sağlıyor. Bu araçlar, saldırının nitelendirilmesini de zorlaştırıyor. Maalesef, siber saldırganlar hedeflerine ulaşmak için çok çeşitli meşru araç kullanarak göz önündeyken fark edilememeyi başarıyorlar. Akıllı savunucuların, idari araçlara ve ortamlarındaki log kullanımına erişimlerini kısıtlaması ve gerekiyor.

Dinamik ve Proaktif Tehdit İstihbaratı İhtiyacı

Bir kurumun hem mevcut tehdit trendlerine karşı savunma becerisini geliştirmek, hem de zaman içerisinde saldırıların evrimleşmesine ve otomatize hale gelmesine karşı kurumu hazırlamak, dinamik, proaktif ve dağıtık ağın her yerinde hazır bulunan bir tehdit istihbaratını gerektiriyor. Bu bilgi, dijital saldırı alanını hedefleyen saldırı yöntemlerinin evrimleşmesini gösteren trendlerin tanımlanmasına ve siber suçluların çabalarını yoğunlaştırdığı siber hijyen önceliklerinin belirlenmesine yardımcı olabilir. Tehdit istihbaratına dayanarak aksiyon alma becerisi ve önemi, her bir güvenlik cihazında eş zamanlı olarak uygulanabilir olmaması durumunda ciddi oranda azalıyor. Yalnızca kapsamlı, entegre ve otomatik bir security fabric mimarisi, nesnelerin internetinden uca, ağ çekirdeğinden çoklu bulutlara kadar ağın tamamı için geniş ölçekli ve hızlı bir koruma sağlayabilir.

Sizin de bu konuda söyleyecekleriniz mi var?