Bir siber güvenlik firmasının raporuna nazaran, botnetlerin büyük çoğunluğunun yerleşik altyapılardan faydalandığını ortaya koyarak, tehditlerin yaklaşık yüzde 60’ının en az bir tesir alanını (domain) kullandığını gösteriyor. Ayrıyeten siber suçular, kullanıcılar çevrimiçiyken uygulamaları amaç alıyor.
Fortinet, her çeyrekte yayınlanan Tehdit Görünümü Raporu’nun en yeni bulgularını açıkladı. Rapora nazaran, hatalılar kazanımlarını artırmak için özel tasarlanmış fidye yazılımlar ve kimi ataklara özel kodlamadan, gizlenmek için yasal görünen araçlardan faydalanma (living-off-the-land-LoTL) tekniğine ya da altyapı paylaşımına kadar hücum formüllerini daha da sofistike hale getirmeye devam ediyor.
Raporda öne çıkan bulgular şu biçimde:
Ele geçirme öncesi ve sonrası aksiyon trafiği: Tehdit aktörlerinin taarruz fazlarını haftanın farklı günlerinde gerçekleştirip gerçekleştirmediğini tespit etmeyi amaçlayan araştırmalar, siber hatalıların her vakit gayelerinden azamî yarar sağlamanın yollarını aradıklarını gösteriyor. Hafta içi ve hafta sonlarında iki siber akın hayat döngüsü fazlarının web filtreleme hacimleri kıyaslandığında, ele geçirme saldırısı öncesi aksiyonların iş günlerinde gerçekleşme ihtimalinin yaklaşık üç kat daha yüksek olduğu, bu açıdan ele geçirme sonrası süreç trafiğinin ise daha az farklılaşma gösterdiği görülüyor.
Bunun en önemli sebebi istismar aksiyonunun birden fazla sefer oltama (phishing) e-postasına tıklanması üzere bir biri tarafından alınması gereken bir aksiyon gerektirmesinden kaynaklanıyor. Buna karşılık, komuta ve denetim (C2), rastgele bir aksiyon gerektirmez ve her vakit gerçekleşebilir. Siber hatalılar bunu biliyor ve internet trafiğinin en üst düzeylerde olduğu hafta içi günlerinde bu fırsattan en yeterli formda yararlanmaya çalışacaklar. Bu açıdan, hafta içi ve hafta sonu uygulanan web filtreleme uygulamalarının farklılaşmasının, çeşitli atakların hayat döngüsünün bütünüyle anlaşılabilmesi için değerli olduğu görülüyor.
Tehditlerin büyük bir kısmı altyapıyı paylaşıyor: Farklı tehditlerin altyapı kullanımının hangi boyutlarda olduğu kıymetli trendler ortaya koyuyor. Birtakım tehditler, ortak kullanılan altyapılardan, tekil ya da özel altyapılara nazaran daha fazla yararlanıyor. Tehditlerin yaklaşık yüzde 60’ı en az bir alanı (domain) kullanıyor; bu da botnetlerin büyük bir kısmının yerleşik altyapılardan faydalandığını gösteriyor. IcedID ziyanlı yazılımı, “ödünç alabilecekken neden satın alasın ya da kendin yapasın” biçiminde özetlenebilecek bu davranışa bir örnek olarak gösteriliyor. Buna ek olarak, tehditler altyapıyı kullandığında, bunu, siber atak ömür döngüsünün birebir kademesi içinde yapmayı tercih ediyorlar. Bir tehdidin istismar için bir domain’den yararlanması ve onu daha sonra C2 trafiği için kullanması olağandışıdır. Bu durum, berbat niyetli kullanıldığında altyapının oynadığı özel rolü ve fonksiyonu gözler önüne seriyor. Hangi tehditlerin altyapıyı kullandığının ve hücum döngüsünün hangi noktalarında kullanıldığının anlaşılması, kurumların gelecekteki ziyanlı yazılım ya da botnetlerin potansiyel gelişim noktalarının öngörülmesini sağlar.
İçerik idaresi daima idare gerektiriyor: Siber saldırganların, fırsatlardan en kısa müddette ve en üst düzeyde yarar elde etmek için, istismar edilmiş zafiyetleri ve yükselişte olan teknolojileri hedefleyerek, bir fırsattan başkasına geçme eğiliminde oldukları görülüyor. Web ortamında bir kimlik inşa etmeleri için tüketicilerin ve işletmelerin işini kolaylaştıran web platformları, son vakitlerde siber hatalıların dikkatini çeken yeni teknolojilere bir örnek olarak gösterilebilir. Üçüncü taraf eklentilerle bağlantılı olsalar bile bu platformlar amaç alınmaya devam ediyor. Bu durum, yamaların anında uygulanmasının ve saldırganların bir adım ötesinde kalmak için istismarların daima değişen dünyasını tanımanın ne kadar kritik olduğunu gösteriyor.
Fidye yazılımlar hala büyük tehdit: Çoklukla, fidye yazılımların geçmiş periyotlardaki ağır görülme oranları yerini daha spesifik gayeli hücumlara bıraksa da, fidye yazılımlar hala geçerliliğini koruyor. Hatta, çoklu hücumlar fidye yazılımların yüksek kıymetli maksatlar ve saldırgana ağa imtiyazlı erişim sağlamak için tadil edildiğini gösteriyor. LockerGoga, çok etaplı bir hücumda kullanılan bir fidye yazılım örneğidir. LockerGoga’yı fonksiyonel gelişmişlik açısından öteki fidye yazılımlardan ayıran çok büyük bir farklılık bulunmuyor; fakat, fidye yazılım araçlarının büyük çoğunluğu atlatma tekniklerinden kaçınmak için belirli ölçüde gizlenme taktiği uygulasa da, tahlil edildiğinde bu taktiğin çok az kullanıldığı görülüyor. Bu durum, atağın muhakkak bir maksada yönelen yapısı olduğuna ve ziyanlı yazılımın kolaylıkla tespit edilemeyeceğinin varsayıldığına işaret ediyor. Buna ek olarak, başka birçok ziyanlı yazılımlar üzere, Anatova da bulaştığı sistemin çalışabilirliğini etkileyebilecek rastgele bir şeyi sistematik olarak şifrelemek dışında, saldırdığı sistemde mümkün olduğunca çok sayıda belgeyi şifrelemeyi hedefliyor.
Anatova, ziyanlı yazılım tahlillerinde ve sanal tuzak olarak kullanıldığı görülen bilgisayarlara da bulaşmaktan kaçınıyor. Bu iki fidye yazılım türevi, güvenlik başkanlarının meta elde etmeyi amaçlayan fidye yazılımlarına karşı yamalama ve yedeklemelere odaklanmaya devam etmeleri gerektiğini gösteriyor. Fakat, daha spesifik gayeli tehditlerin kendilerine mahsus atak sistemlerinden korunmak daha özel niteliklerle tasarlanmış savunma pratikleri gerektiriyor.
“Gizlenmek için yasal görünen araçlardan faydalanma (Living off the land – LoTL)“ tekniğinin kullandığı taktikler ve araçlar: Tehdit aktörleri kurbanlarıyla tıpkı iş modellerini kullanarak çalıştıkları için, gayretlerini artırmak maksadıyla, sisteme birinci girişten sonra bile akın metotlarını geliştirmeye devam ediyorlar. Tehdit aktörleri, bunu başarmak hedefiyle, çift kullanımlı araçlardan ya da hedefledikleri sistemlere siber atak düzenleyebilmek için daha evvelce kurulan araçlardan giderek daha çok yararlanıyor. LoTL ismi verilen bu formül, siber korsanların hareketlerini legal süreçlere gizlemesini ve böylelikle savunma düzenekleri tarafından kolay kolay tespit edilememesini sağlıyor. Bu araçlar, akının nitelendirilmesini de zorlaştırıyor. Maalesef, siber saldırganlar maksatlarına ulaşmak için çok çeşitli legal araç kullanarak göz önündeyken fark edilememeyi başarıyorlar. Akıllı savunucuların, idari araçlara ve ortamlarındaki log kullanımına erişimlerini kısıtlaması ve gerekiyor.
Dinamik ve proaktif tehdit istihbaratı ihtiyacı
Bir kurumun hem mevcut tehdit trendlerine karşı savunma marifetini geliştirmek, hem de vakit içerisinde taarruzların evrimleşmesine ve otomatize hale gelmesine karşı kurumu hazırlamak, dinamik, proaktif ve dağıtık ağın her yerinde hazır bulunan bir tehdit istihbaratını gerektiriyor. Bu bilgi, dijital atak alanını hedefleyen hücum tekniklerinin evrimleşmesini gösteren trendlerin tanımlanmasına ve siber hatalıların uğraşlarını ağırlaştırdığı siber hijyen önceliklerinin belirlenmesine yardımcı olabilir. Tehdit istihbaratına dayanarak aksiyon alma hüneri ve değeri, her bir güvenlik aygıtında eş vakitli olarak uygulanabilir olmaması durumunda önemli oranda azalıyor. Sırf kapsamlı, entegre ve otomatik bir security fabric mimarisi, nesnelerin internetinden uca, ağ çekirdeğinden çoklu bulutlara kadar ağın tamamı için geniş ölçekli ve süratli bir müdafaa sağlayabilir.