Fortinet, her çeyrekte yayınlanan Tehdit Görünümü Raporu’nun en aktüel bulgularını açıkladı. Rapora nazaran, hatalılar kazanımlarını artırmak için özel tasarlanmış fidye yazılımlar ve birtakım taarruzlara özel kodlamadan, gizlenmek için yasal görünen araçlardan faydalanma (living-off-the-land-LoTL) tekniğine ya da altyapı paylaşımına kadar akın metotlarını daha da sofistike hale getirmeye devam ediyor.
Raporda öne çıkan bulgular şu formda:
Ele geçirme öncesi ve sonrası aksiyon trafiği: Tehdit aktörlerinin taarruz fazlarını haftanın farklı günlerinde gerçekleştirip gerçekleştirmediğini tespit etmeyi amaçlayan araştırmalar, siber hatalıların her vakit maksatlarından azamî yarar sağlamanın yollarını aradıklarını gösteriyor. Hafta içi ve hafta sonlarında iki siber taarruz ömür döngüsü fazlarının web filtreleme hacimleri kıyaslandığında, ele geçirme saldırısı öncesi aksiyonların iş günlerinde gerçekleşme ihtimalinin yaklaşık üç kat daha yüksek olduğu, bu açıdan ele geçirme sonrası süreç trafiğinin ise daha az farklılaşma gösterdiği görülüyor.
Bunun esas sebebi istismar aksiyonunun birden fazla kere oltama (phishing) e-postasına tıklanması üzere bir biri tarafından alınması gereken bir aksiyon gerektirmesinden kaynaklanıyor. Buna karşılık, komuta ve denetim (C2), rastgele bir aksiyon gerektirmez ve her vakit gerçekleşebilir. Siber hatalılar bunu biliyor ve internet trafiğinin en üst düzeylerde olduğu hafta içi günlerinde bu fırsattan en uygun biçimde yararlanmaya çalışacaklar. Bu açıdan, hafta içi ve hafta sonu uygulanan web filtreleme uygulamalarının farklılaşmasının, çeşitli atakların hayat döngüsünün bütünüyle anlaşılabilmesi için değerli olduğu görülüyor.
Tehditlerin büyük bir kısmı altyapıyı paylaşıyor: Farklı tehditlerin altyapı kullanımının hangi boyutlarda olduğu kıymetli trendler ortaya koyuyor. Kimi tehditler, ortak kullanılan altyapılardan, tekil ya da özel altyapılara nazaran daha fazla yararlanıyor. Tehditlerin yaklaşık yüzde 60’ı en az bir alanı (domain) kullanıyor; bu da botnetlerin büyük bir kısmının yerleşik altyapılardan faydalandığını gösteriyor. IcedID ziyanlı yazılımı, “ödünç alabilecekken neden satın alasın ya da kendin yapasın” biçiminde özetlenebilecek bu davranışa bir örnek olarak gösteriliyor. Buna ek olarak, tehditler altyapıyı kullandığında, bunu, siber atak hayat döngüsünün tıpkı basamağı içinde yapmayı tercih ediyorlar. Bir tehdidin istismar için bir domain’den yararlanması ve onu daha sonra C2 trafiği için kullanması olağandışıdır. Bu durum, makus niyetli kullanıldığında altyapının oynadığı özel rolü ve fonksiyonu gözler önüne seriyor. Hangi tehditlerin altyapıyı kullandığının ve taarruz döngüsünün hangi noktalarında kullanıldığının anlaşılması, kurumların gelecekteki ziyanlı yazılım ya da botnetlerin potansiyel gelişim noktalarının öngörülmesini sağlar.
İçerik idaresi daima idare gerektiriyor: Siber saldırganların, fırsatlardan en kısa müddette ve en üst düzeyde yarar elde etmek için, istismar edilmiş zafiyetleri ve yükselişte olan teknolojileri hedefleyerek, bir fırsattan başkasına geçme eğiliminde oldukları görülüyor. Web ortamında bir kimlik inşa etmeleri için tüketicilerin ve işletmelerin işini kolaylaştıran web platformları, son vakitlerde siber hatalıların dikkatini çeken yeni teknolojilere bir örnek olarak gösterilebilir. Üçüncü taraf eklentilerle alakalı olsalar bile bu platformlar amaç alınmaya devam ediyor. Bu durum, yamaların anında uygulanmasının ve saldırganların bir adım ötesinde kalmak için istismarların daima değişen dünyasını tanımanın ne kadar kritik olduğunu gösteriyor.
Fidye yazılımlar hala büyük tehdit: Çoklukla, fidye yazılımların geçmiş devirlerdeki ağır görülme oranları yerini daha spesifik maksatlı hücumlara bıraksa da, fidye yazılımlar hala geçerliliğini koruyor. Hatta, çoklu akınlar fidye yazılımların yüksek kıymetli gayeler ve saldırgana ağa imtiyazlı erişim sağlamak için tadil edildiğini gösteriyor. LockerGoga, çok basamaklı bir hücumda kullanılan bir fidye yazılım örneğidir. LockerGoga’yı fonksiyonel gelişmişlik açısından öbür fidye yazılımlardan ayıran çok büyük bir farklılık bulunmuyor; fakat, fidye yazılım araçlarının büyük çoğunluğu atlatma tekniklerinden kaçınmak için belirli ölçüde gizlenme taktiği uygulasa da, tahlil edildiğinde bu taktiğin çok az kullanıldığı görülüyor. Bu durum, hücumun belli bir maksada yönelen yapısı olduğuna ve ziyanlı yazılımın kolay kolay tespit edilemeyeceğinin varsayıldığına işaret ediyor. Buna ek olarak, öteki birçok ziyanlı yazılımlar üzere, Anatova da bulaştığı sistemin çalışabilirliğini etkileyebilecek rastgele bir şeyi sistematik olarak şifrelemek dışında, saldırdığı sistemde mümkün olduğunca çok sayıda belgeyi şifrelemeyi hedefliyor.
Anatova, ziyanlı yazılım tahlillerinde ve sanal tuzak olarak kullanıldığı görülen bilgisayarlara da bulaşmaktan kaçınıyor. Bu iki fidye yazılım türevi, güvenlik önderlerinin meta elde etmeyi amaçlayan fidye yazılımlarına karşı yamalama ve yedeklemelere odaklanmaya devam etmeleri gerektiğini gösteriyor. Fakat, daha spesifik amaçlı tehditlerin kendilerine mahsus atak tekniklerinden korunmak daha özel niteliklerle tasarlanmış savunma pratikleri gerektiriyor.
“Gizlenmek için yasal görünen araçlardan faydalanma (Living off the land – LoTL)“ tekniğinin kullandığı taktikler ve araçlar: Tehdit aktörleri kurbanlarıyla birebir iş modellerini kullanarak çalıştıkları için, uğraşlarını artırmak emeliyle, sisteme birinci girişten sonra bile akın tekniklerini geliştirmeye devam ediyorlar. Tehdit aktörleri, bunu başarmak maksadıyla, çift kullanımlı araçlardan ya da hedefledikleri sistemlere siber hücum düzenleyebilmek için daha evvelden kurulan araçlardan giderek daha çok yararlanıyor. LoTL ismi verilen bu yol, siber korsanların hareketlerini yasal süreçlere gizlemesini ve böylelikle savunma düzenekleri tarafından kolaylıkla tespit edilememesini sağlıyor. Bu araçlar, hücumun nitelendirilmesini de zorlaştırıyor. Maalesef, siber saldırganlar gayelerine ulaşmak için çok çeşitli yasal araç kullanarak göz önündeyken fark edilememeyi başarıyorlar. Akıllı savunucuların, idari araçlara ve ortamlarındaki log kullanımına erişimlerini kısıtlaması ve gerekiyor.
Dinamik ve proaktif tehdit istihbaratı ihtiyacı
Bir kurumun hem mevcut tehdit trendlerine karşı savunma marifetini geliştirmek, hem de vakit içerisinde hücumların evrimleşmesine ve otomatize hale gelmesine karşı kurumu hazırlamak, dinamik, proaktif ve dağıtık ağın her yerinde hazır bulunan bir tehdit istihbaratını gerektiriyor. Bu bilgi, dijital hücum alanını hedefleyen taarruz metotlarının evrimleşmesini gösteren trendlerin tanımlanmasına ve siber hatalıların eforlarını ağırlaştırdığı siber hijyen önceliklerinin belirlenmesine yardımcı olabilir. Tehdit istihbaratına dayanarak aksiyon alma marifeti ve değeri, her bir güvenlik aygıtında eş vakitli olarak uygulanabilir olmaması durumunda önemli oranda azalıyor. Sadece kapsamlı, entegre ve otomatik bir security fabric mimarisi, objelerin internetinden uca, ağ çekirdeğinden çoklu bulutlara kadar ağın tamamı için geniş ölçekli ve süratli bir muhafaza sağlayabilir.