Ersin Erol

Siber Saldırının Anatomisi

ersinerol avatarı
ersinerol

Bir Siber Saldırının Anatomisi: Aşamalar, Teknikler ve Korunma Yöntemleri

 Düzenlenen siber saldırılar kendi içinde bir akışı (cyber kill chain) takip eder. Her aşamada adım adım hedef üzerindeki aksiyonlar hayata geçirilerek sonuca gidilir. Bu aşamaların neler olduğunu bilmek ve uygun önlemleri almak her kurum için uygulanması şarttır.

Siber Saldırı Nedir?

Siber saldırılar, kişisel, kurumsal veya hükümet verilerine izinsiz erişim sağlama, zarar verme veya hizmet kesintisi yaratma amacı taşıyan kötü niyetli faaliyetlerdir. Modern dünyada bu tür saldırılar yalnızca bilgi çalmakla kalmaz, aynı zamanda kritik altyapıları hedef alarak ekonomik ve sosyal düzeni tehdit eder. Bu yazıda, tipik bir siber saldırının aşamalarını, kullanılan yöntemleri ve savunma stratejilerini adım adım inceleyeceğiz.

1. Keşif (Reconnaissance)

Keşif aşaması, saldırganın hedef sistem hakkında bilgi topladığı adımdır. Saldırgan, bu aşamada sistemin zayıf noktalarını ve olası saldırı vektörlerini belirlemeye çalışır. Bu aşama, saldırının başarısını büyük ölçüde etkiler.

Teknikler:

  • Açık Kaynak İstihbaratı (OSINT): Kamuya açık kaynaklardan bilgi toplama (sosyal medya, forumlar, web siteleri).
  • Port Taraması (Port Scanning): Nmap veya Masscan gibi araçlarla sistemin açık portlarını ve kullanılan hizmetleri belirleme.
  • Sosyal Mühendislik: Çalışanlar veya bağlantılar üzerinden bilgi edinme.

Bilgi güvenliği politikalarını güncel tutmak, sosyal mühendislik farkındalık eğitimleri ve OSINT kaynaklarının doğru yönetilmesi, keşif aşamasında bilgi sızmasını önleyebilir.

2. Silahlanma (Weaponization)

Silahlanma aşamasında saldırgan, keşif aşamasında topladığı bilgilere göre saldırı araçlarını ve kötü amaçlı yazılımları hazırlamaya başlar.

Teknikler:

  • Exploit Geliştirme: Bilinen zafiyetleri hedef alacak exploit kodları hazırlamak (ör. Metasploit Framework).
  • Fidye Yazılımı Üretimi: Hedef sistemlerin dosya yapısına uygun fidye yazılımı geliştirme.
  • Kötü Amaçlı Makrolar: Microsoft Office dosyalarında makro komutları kullanarak zararlı yazılım ekleme.

Kod Örneği: Basit Bir Dosya Şifreleyici

Aşağıdaki Python kodu, AES kullanarak bir dosyanın içeriğini şifreler. Bu tür kodlar yalnızca eğitim amacıyla kullanılmalı ve kötü niyetli amaçlarla kullanılmamalıdır.

python

from Crypto.Cipher import AES
from Crypto.Random import get_random_bytes
import os

# Şifreleme anahtarı ve IV (Initialization Vector) oluşturma
key = get_random_bytes(16) # AES için 128 bit anahtar
iv = get_random_bytes(16) # AES-CBC modu için IV

def pad(data):
“””AES blok boyutuna göre veriyi doldurma (padding) işlemi”””
return data + b”\0″ * (AES.block_size – len(data) % AES.block_size)

def encrypt_file(file_path):
“””Dosyayı AES ile şifreleme”””
with open(file_path, ‘rb’) as f:
plaintext = f.read()

# Veriyi doldur ve AES CBC moduyla şifrele
plaintext = pad(plaintext)
cipher = AES.new(key, AES.MODE_CBC, iv)
ciphertext = cipher.encrypt(plaintext)

# Şifreli dosyayı kaydet
with open(file_path + “.enc”, ‘wb’) as f:
f.write(iv + ciphertext)

# Orijinal dosyayı sil
os.remove(file_path)
print(f”{file_path} dosyası başarıyla şifrelendi.”)

# Kullanım
encrypt_file(“ornek_dosya.txt”)

  • Anahtar ve IV Üretimi: key ve iv AES şifreleme için oluşturulur.
  • Padding İşlemi: Veriyi AES’in blok boyutuna göre tamamlayarak şifrelenebilir hale getirir.
  • Şifreleme İşlemi: Dosya içeriği AES-CBC modunda şifrelenir.
  • Şifreli Dosyanın Kaydedilmesi: IV ve şifreli içerik yeni bir dosyada kaydedilir; orijinal dosya silinir.

Yazılım güncellemeleri, Anti-Malware sistemleri ve düzenli güvenlik testleri yapılmalıdır.

3. Teslimat (Delivery)

Teslimat aşamasında saldırgan zararlı yazılımı veya exploit’i hedef sisteme ulaştırmaya çalışır. Bu aşama, saldırının başarılı olması için kritik önemdedir.

Teslimat Yöntemleri:

  • Phishing (Oltalama): E-posta veya sosyal medya aracılığıyla sahte mesaj göndererek zararlı içerik yükletme.
  • Drive-by Download: Hedef, kötü amaçlı bir web sitesinden zararlı yazılımı farkında olmadan indirir.
  • Tedarik Zinciri Saldırıları: Güncellemeler veya üçüncü taraf tedarikçiler aracılığıyla zararlı yazılımın hedef sisteme ulaştırılması.

 E-posta güvenlik sistemleri, URL filtreleme ve sandboxing gibi teknolojiler kullanılarak zararlı içerikler engellenmelidir.

4. Sisteme Sızma (Exploitation)

Açıklama: Bu aşamada saldırgan, sistemdeki güvenlik açıklarını kullanarak sisteme izinsiz erişim sağlar.

Saldırı Yöntemleri:

  • SQL Injection: Veritabanı sorgularına zararlı komutlar enjekte ederek veri çalma.
  • XSS (Cross-Site Scripting): Web uygulamalarında JavaScript enjeksiyonu yaparak kullanıcı bilgilerini elde etme.
  • Kimlik Doğrulama Atlatma: Sistem zafiyetlerini kullanarak kimlik doğrulamayı atlama.

Güvenli kodlama standartlarına göre geliştirme yapılmalı, düzenli güvenlik testleri uygulanmalıdır.

5. Komuta ve Kontrol (Command and Control, C2)

Saldırgan, ele geçirdiği sistem üzerinde sürekli kontrol sağlamak amacıyla bir C2 altyapısı kurar. Bu altyapı, saldırganın sistem üzerindeki aktivitelerini uzaktan yönetmesini sağlar.

Teknikler:

  • C&C Sunucuları: Saldırganın kendi sunucuları üzerinden hedef sistemle bağlantı kurması.
  • Backdoor Yüklemeleri: Sisteme kalıcı erişim sağlamak için zararlı yazılım yerleştirme.
  • Botnetler: Ele geçirilen birden fazla sistemin tek bir komuta merkezi üzerinden yönetilmesi.

Ağ trafiğinin analizi, anormal bağlantıların tespiti ve güvenlik duvarları ile C&C trafiğinin engellenmesi sağlanmalıdır.

6. Hedefe Ulaşma ve İzleri Gizleme (Actions on Objectives and Covering Tracks)

Bu aşamada saldırgan, saldırının nihai amacına ulaşır ve varlığını gizlemeye çalışır. Veri çalma, hizmet kesintisi yaratma veya fidye talebi bu aşamada gerçekleştirilir. Saldırgan, sistemde kalıcı olabilmek veya izlerini yok etmek için çeşitli teknikler kullanır.

Amaçlar ve Teknikler:

  • Veri Çalma (Data Exfiltration): Kişisel veya kurumsal bilgilerin dışarı çıkarılması.
  • İzleri Gizleme (Covering Tracks): Log dosyalarını silme veya değiştirme, rootkit gibi araçlar kullanarak kalıcılık sağlama.
  • Wiper Araçları: Sistem üzerinde herhangi bir iz bırakmadan veri silme.
  • Firewall ve IDS/IPS Ayarlarını Değiştirme: Şüpheli aktiviteleri engellemek için güvenlik önlemlerini devre dışı bırakma.

Veri kaybı önleme çözümleri (DLP), düzenli yedekleme, erişim denetimleri ve izinsiz giriş tespit sistemleri (IDS) kullanılarak saldırıların etkisi azaltılabilir. Log analizleriyle anormal aktiviteler izlenmelidir.

Siber Saldırılara Karşı Korunma Stratejileri

Siber saldırıların karmaşıklığı arttıkça korunma yöntemleri de gelişmelidir. Kurumların güncel tehditleri takip etmesi, güvenlik protokollerini sürekli güncel tutması ve çalışanları siber güvenlik farkındalığı konusunda eğitmesi önemlidir. Özellikle saldırılarda izleri gizleme teknikleri kullanıldığından, saldırganların tespit edilmesi ve etkisiz hale getirilmesi için proaktif önlemler alınmalıdır. Tespit ve yanıt süreçleri hızlandırılarak hasar minimum seviyeye indirilebilir.

Tagged in :

ersinerol avatarı
ersinerol

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Ersin Erol

Siber Güvenlik Profesyoneli

Son Paylaşımlarım

Kategoriler

Sayfalar

Etiketler

aws security bilişim vadisi panel bulut güvenliği Capability Maturity Model Integration clous security CMMI-Security eks siber güvenlik enerji sektöründe bilgi güvenliği enerji sektöründe siber güvenlik enerji sektöründe siber güvenlik stratejileri EPDK siber güvenlik yetkinlik modeli Ersin Erol hacklenme sonrası yapılması gerekenler iş sürekliliği level 3.5 ot siber güvenlik pentest mi denetim mi pentest ve denetim farkı postmortem nedir purdue modeli Secure Fors siber dayanıklılık siber güvenlik siber kriz senaryoları siber saldırı strateji sızma testi tabletop egzersizi