Siber Saldırganların Saldırıların Tespit Edilmemesi için Kullandıkları Yöntemler

Siber saldırganlar, siber güvenlik sistemlerini aşmak ve tespit edilmemek için çeşitli karmaşık ve sofistike teknikler kullanırlar. Bu tekniklerin amacı, saldırıların mümkün olduğunca uzun süre fark edilmeden kalmasını sağlamaktır. EDR (Endpoint Detection and Response), XDR (Extended Detection and Response), NDR (Network Detection and Response), SOAR (Security Orchestration, Automation, and Response), SIEM (Security Information and Event Management) ve IPS (Intrusion Prevention Systems) gibi güvenlik çözümleri, saldırıları tespit etmek ve engellemek için tasarlanmış olsa da, saldırganlar bu sistemlerin zaaflarını istismar etmeye çalışırlar. Bu yazıda, siber saldırganların tespit edilmemek için kullandıkları yöntemleri ve dünyada bilinen bazı örnekleri ele alacağız.

Saldırganların Tespit Edilmemek için Kullandıkları Yöntemler

1. İmzaları Değiştirmek ve Obfuscation Teknikleri

   • Siber saldırganlar, zararlı yazılımlarının imzalarını sürekli olarak değiştirirler. Bu sayede antivirüs yazılımları ve EDR sistemleri tarafından tespit edilmeleri zorlaşır. Obfuscation teknikleriyle kodlarını gizlerler, böylece analiz edilmesi ve anlaşılması daha zor hale gelir.

2. Kalıpları Taklit Etmek

   • Saldırganlar, meşru yazılım ve ağ trafiği kalıplarını taklit ederek tespit edilmekten kaçınırlar. Örneğin, zararlı aktiviteleri normal kullanıcı davranışları gibi gösterebilirler. Bu teknik, özellikle SIEM ve NDR sistemlerinin normal ve anormal davranışları ayırt etmekte zorlanmasına neden olur.

3. Zamanlama Teknikleri

   • Saldırılar, güvenlik ekiplerinin dikkatinin düşük olduğu zamanlarda gerçekleştirilir. Örneğin, gece saatlerinde veya tatil dönemlerinde saldırılar gerçekleştirilerek tespit edilme olasılığı azaltılır.

4. Command and Control (C2) Sunucuları

   • Saldırganlar, zararlı yazılımlarını yönetmek ve kontrol etmek için C2 sunucuları kullanırlar. Bu sunucular, meşru trafik gibi görünerek tespit edilmekten kaçınabilir. Ayrıca, C2 iletişimi şifrelenmiş olabilir, bu da NDR ve SIEM sistemlerinin bu trafiği analiz etmesini zorlaştırır.

5. Polimorfik ve Metamorfik Zararlılar

   • Polimorfik zararlılar, her enfeksiyonda kendilerini değiştirirler, böylece aynı zararlı yazılımın farklı sürümleri farklı görünebilir. Metamorfik zararlılar ise kendilerini tamamen yeniden yazarak tespit edilmekten kaçarlar.

6. Gizlenmiş Dosya ve Klasörler

   • Zararlı yazılımlar, sistemdeki dosya ve klasörleri gizleyerek tespit edilmekten kaçınırlar. Bu teknik, özellikle EDR sistemlerinin bu dosyaları bulmasını zorlaştırır.

7. Rootkit Kullanımı

   • Rootkitler, sistem çekirdeğine yerleşerek zararlı aktiviteleri gizlerler. Bu tür yazılımlar, güvenlik yazılımlarını atlatmak ve tespit edilmeden kalmak için kullanılır.

8. Sosyal Mühendislik

   • Kullanıcıları kandırarak zararlı yazılımları çalıştırmalarını sağlarlar. Örneğin, phishing saldırıları ile kullanıcıların kimlik bilgilerini çalarak tespit edilmeden sistemlere sızabilirler.

9. Tünelleme Teknikleri

   • Saldırganlar, zararlı trafiği meşru protokoller (HTTP, HTTPS, DNS) üzerinden tünelleyerek güvenlik cihazlarını atlatırlar. Bu teknik, özellikle IPS ve NDR sistemlerinin zararlı trafiği tespit etmesini zorlaştırır.

10. Lateral Movement

    • Saldırganlar, bir ağa sızdıktan sonra yatay hareket ederek diğer sistemlere geçerler. Bu süreçte düşük profilli kalırlar ve tespit edilmemek için izlerini gizlerler.

Güvenlik Sistemlerinin Zaafları ve Saldırganların Çalışmaları

EDR, XDR, NDR, SOAR, SIEM ve IPS Sistemlerine Karşı Kullanılan Teknikler

1. EDR Sistemlerine Karşı

   • Fileless Malware: Dosyasız zararlı yazılımlar, bellekte çalışarak disk tabanlı analizlerden kaçarlar. Bu tür zararlı yazılımlar, EDR sistemlerinin tespit etmesini zorlaştırır.
   • Living off the Land (LotL): Meşru sistem araçlarını kullanarak zararlı aktiviteleri gerçekleştirmek. Örneğin, PowerShell veya WMI kullanımı.

2. XDR Sistemlerine Karşı

   • Data Fragmentation: Zararlı veriyi küçük parçalara ayırarak göndermek. Bu teknik, XDR sistemlerinin büyük veri akışlarını tespit etmesini zorlaştırır.
   • Evading Behavioral Analytics: Davranış analitiği tespitlerinden kaçınmak için normal kullanıcı davranışlarını taklit etmek.

3. NDR Sistemlerine Karşı

   • Encrypted Traffic: Zararlı trafiği şifreleyerek NDR sistemlerinin bu trafiği analiz etmesini zorlaştırmak.
   • Steganography: Zararlı içeriği meşru veri içine gizlemek. Örneğin, resim veya video dosyalarına zararlı kod gömmek.

4. SOAR Sistemlerine Karşı

   • Automated Response Evasion: Otomatik yanıt mekanizmalarını atlatmak için hızlı ve dinamik saldırılar gerçekleştirmek.
   • Scripted Responses: Güvenlik ekiplerinin otomatik yanıtlarını engellemek için zararlı kodlar yazmak.

5. SIEM Sistemlerine Karşı

   • Log Tampering: Sistem günlüklerini değiştirmek veya silmek. Bu teknik, SIEM sistemlerinin doğru verilerle çalışmasını engeller.
   • Noise Generation: Çok sayıda yanlış alarm oluşturarak SIEM sistemlerinin ve güvenlik ekiplerinin dikkatini dağıtmak.

6. IPS Sistemlerine Karşı

   • Evasion Techniques: Zararlı trafiği küçük parçalara ayırarak göndermek veya meşru trafiğin içine gizlemek.
   • Polymorphic Attacks: Zararlı yazılımların sürekli değişen sürümlerini kullanarak imza tabanlı tespit sistemlerinden kaçınmak.

Dünyada Bilinen ve Gizlenme Yöntemleri Kullanan Saldırı Örnekleri

1. SolarWinds Saldırısı (2020)

SolarWinds saldırısı, zararlı yazılımın SolarWinds Orion yazılım güncellemelerine gizlice yerleştirilmesiyle gerçekleşti. Saldırganlar, meşru yazılım güncellemelerini kullanarak zararlı yazılımlarını yaydılar ve bu süreçte uzun süre tespit edilmeden kaldılar. Bu saldırı, birçok büyük şirket ve devlet kurumunu etkiledi.

2. Stuxnet (2010)

Stuxnet, İran’ın nükleer tesislerine yönelik bir saldırıydı. Bu zararlı yazılım, meşru sistem dosyaları gibi görünerek tespit edilmekten kaçındı. Ayrıca, saldırganlar, zararlı yazılımın tespit edilmemesi için çeşitli rootkit ve obfuscation teknikleri kullandılar.

3. NotPetya (2017)

NotPetya, Ukrayna’da başlayan ve dünya genelinde yayılan bir fidye yazılım saldırısıydı. Saldırganlar, zararlı yazılımlarını meşru Windows güncellemeleri gibi göstererek yaydılar. Ayrıca, saldırı, sistemlerde kalıcı olmak ve tespit edilmekten kaçınmak için çeşitli teknikler kullandı.

4. APT29 (Cozy Bear)

APT29, Rusya hükümetiyle bağlantılı olduğu düşünülen bir APT grubudur. Bu grup, zararlı yazılımlarını tespit edilmekten kaçınmak için ileri seviye obfuscation ve şifreleme teknikleri kullanır. Ayrıca, sosyal mühendislik saldırıları ile kullanıcıları kandırarak sistemlere sızarlar.

Siber saldırganlar, tespit edilmekten kaçınmak için sürekli olarak yeni ve daha karmaşık teknikler geliştirirler. Güvenlik çözümleri ne kadar gelişmiş olursa olsun, saldırganlar bu çözümleri atlatmanın yollarını bulmaya çalışırlar. EDR, XDR, NDR, SOAR, SIEM ve IPS gibi güvenlik sistemlerinin zaaflarını istismar eden saldırganlar, başarılı bir saldırı gerçekleştirmek için çeşitli yöntemler kullanırlar. Dünyada bilinen SolarWinds, Stuxnet, NotPetya ve APT29 gibi saldırılar, bu tür gizlenme tekniklerinin ne kadar etkili olabileceğini göstermektedir.

Güvenlik ekipleri, bu tür saldırı tekniklerine karşı sürekli olarak kendilerini güncellemeli ve yeni güvenlik çözümleri geliştirmelidirler. Ayrıca, kullanıcıların da sosyal mühendislik saldırılarına karşı bilinçlendirilmesi, bu tür saldırıların tespit edilmesi ve önlenmesinde büyük önem taşımaktadır.