DDoS saldırıları en büyük teknoloji şirketlerini bile nasıl çökertiyor?

   Kasım 16, 2023  Posted in Bleeping Computer


Specops DDoS başlığı

Yaygın kesintilere ve hizmet kesintilerine neden olabilecek siber saldırılar denince akla elbette Dağıtılmış Hizmet Reddi (DDoS) saldırıları geliyor. Özellikle büyük hiper ölçekli bulut ortamlarını hedef alan bu sinsi saldırılar artıyor.

Son zamanlarda Microsoft, bulut platformlarını hedef alan DDoS saldırılarında bir artış gördü. Saldırıların artmasının arkasında ne var ve kuruluşlar kendilerini nasıl koruyabilir?

DDoS saldırıları norm haline mi geliyor?

Son zamanlarda Alman Federal Mali Denetleme Otoritesi (BaFin) bir DDOS saldırısına maruz kaldı.

Saldırı, BaFin’in kritik tüketici ve mevzuat bilgilerini, soruşturmalarla ilgili belgeleri, kayıtlı şirketlerin veri tabanını, açık iş pozisyonlarını ve ihbar platformunu barındıran web sitesini kesintiye uğrattı.

Bu saldırı, bu yıl manşetlere çıkan birçok DDoS saldırısından sadece biri.

DDoS saldırıları nedir ve nasıl çalışır?

DDoS saldırıları, çevrimiçi hizmetleri aşırı trafikle doldurarak kesintiye uğratmayı amaçlayan siber tehditlerdir.

Bu saldırılar, web sunucuları gibi hedef sistemleri sular altında bırakmak için genellikle birden fazla ülkeye yayılan, güvenliği ihlal edilmiş bilgisayar ağları olan botnet’lerden yararlanır.

DDoS saldırganları, büyük miktarda trafiği bir hedefe yönlendirmek, kaynakların tükenmesine ve hizmet kesintilerine neden olmak için ağ araçlarını ve açık proxy altyapılarını kullanır. Bu saldırıların türü, DNS’yi ve diğer çevrimiçi kaynakları hedef alan saldırılar gibi farklılık gösterebilir.

Microsoft DDoS saldırısının ayrıntılandırılması

Microsoft, Haziran 2023’ün başlarında Azure, Outlook ve OneDrive web portallarında önemli kesintiler yaşadı.

Bu hizmet kesintileri rastgele değil, dikkatlice düzenlenen Katman 7 DDoS saldırılarından kaynaklandı.

Microsoft Hizmetlerine Yönelik Hedefli Saldırılar

Kesintiler dizisi, 7 Haziran’da Outlook.com web portalının, ardından 8 Haziran’da OneDrive’ın hedeflenmesiyle başladı ve 9 Haziran’da Microsoft Azure Portal’ın hedeflenmesiyle sona erdi.

O zamanlar Microsoft, bir DDoS saldırısı altında olduğunu açıkça kabul etmemişti, ancak hafifletme çabalarının bir parçası olarak “yük dengeleme süreçlerinin uygulanmasından” bahsederek ipuçları vermişti.

Daha sonra yayınlanan ön temel neden raporunda, Azure kesintisinin nedeninin ağ trafiğinde ani bir artış olduğu belirtildi.

Microsoft’un Güvenlik Yanıt Merkezi gönderisi yayınlandığında şirket, kesintilerin Katman 7 DDoS saldırısından kaynaklandığını açıkça doğruladı. Bu saldırı, uygulama düzeyini hedef alır ve hizmetleri o kadar yüksek miktarda istekle doldurur ki, bunların hepsini işleyememesine neden olur ve etkili bir şekilde çökmelerine neden olur.

Katman 7 DDoS saldırıları, saldırganların daha az kaynakla çok daha fazla hasar vermesini sağlayan yeni bir DDoS türüdür. “Saniyede daha fazla istek” iletebilirler ve meşru trafik gibi görünme konusunda daha iyi oldukları için daha karmaşıktırlar.

Bu yeni tür DDoS saldırısı tehdidini ayrıntılarıyla anlatan Akamai’nin Bilgi Güvenliği Danışma Sorumlusu Steve Winterfeld, DDoS algısı sorulduğunda şunları söyledi: “Geçen yıl DDoS’un bu konudaki endişesinin düşük olması ilginçti ve bu yıl da Endişe yüksek. Ancak geriye dönüp insanların parayı nereye harcamayı planladıklarına baktığınızda, bunun tehdit algısıyla hiçbir ilgisi yok.”

O zamandan bu yana, OpenAI’nin ChatGPT’si ve hatta DDoS koruma şirketi CloudFlare dahil olmak üzere diğer teknoloji devlerinin web siteleri Anonymous Sudan tarafından kapatıldı.

DDoS saldırılarının 2022’ye göre %200 artmasıyla Microsoft, Cloudflare, OpenAI ve diğerleri gibi şirketler, kendilerini modern DDoS saldırılarının tehdidinden korumak için stratejiler ayarlamak zorunda kalıyor.

Bu tür saldırıların geleceğine ışık tutması açısından Microsoft’a karşı kullanılan saldırı mekanizmasına biraz daha bakalım.

Microsoft’a karşı kullanılan saldırı mekanizması

Anonim Sudan, Microsoft’un hizmetlerine yönelik üç farklı türde Katman 7 DDoS saldırısı kullandı:

  1. HTTP (S) Flood Saldırıları: Bir sunucuyu HTTP istekleriyle dolduran bir yöntem.
  2. Önbellek Atlama: Uygulamanın önbelleğini atlayarak hedefler.
  3. Slowloris: Hedef web sunucusuna mümkün olduğu kadar çok sayıda bağlantıyı açık tutmak ve sonunda kaynak havuzunun tükenmesine neden olmak için tasarlanmış bir taktik.

Bu teknikler, mevcut tüm bağlantıları kullanarak bir web hizmetini hızla bunaltabilir ve hizmetin yeni istekleri kabul edememesine neden olabilir.

Anonim Sudan kimdir?

Microsoft, tehdit aktörlerini Storm-1359 olarak adlandırırken, siber güvenlik dünyasında da isimlerini Anonymous Sudan olarak duyurmuş durumdalar. Ocak 2023’teki başlangıcından bu yana bu grup, Sudan’a karşı çıkan her ülkeyi hedef alacaklarını ilan ederek büyük bir tehdit oluşturdu. Her zamanki çalışma yöntemleri, DDoS saldırıları başlatmayı ve çaldıkları verileri sızdırmayı içerir.

Grubun hırsları, Mayıs 2023’te büyük kuruluşlardan fidye talep etmeye başladıklarında daha da belirginleşti. İlk hedefleri, DDoS saldırısını durdurmak için 3.500 dolar talep eden Scandinavian Airlines (SAS) idi. Ancak haziran ayında odağı Microsoft’a kaydırdıklarında talepleri daha da arttı ve 1 milyon dolar gibi çok büyük bir talepte bulunuldu.

İlginç bir şekilde motivasyonları iki yönlü görünüyordu. Bir yandan saldırılarının ABD’nin Sudan siyasetine müdahalesine karşı protesto olduğunu iddia ettiler.

Öte yandan, Anonymous Sudan’ın diğer Rusya yanlısı gruplarla bir “DARKNET parlamentosu” kurma yönündeki son duyuruları göz önüne alındığında, Avrupa bankacılık sistemlerine yönelik saldırıların yaklaştığını ima eden Rusya ile bağları olabileceğine dair spekülasyonlar var.

Avrupa bankacılık altyapısına yönelik bu tür bir saldırı doğrulanmasa da Anonymous Sudan, tehditlerini gerçekleştirebilecek yetenek ve kaynakları göstererek, finans kurumlarının gelecekteki aksaklıklara karşı yüksek düzeyde tetikte olmaları gerektiğini öne sürdü.

Parola hijyeninin DDoS saldırılarında yer aldığı yer

Bir sunucuyu veya ağ kaynağını muazzam trafikle bunaltmayı amaçlayan DDoS saldırıları, siber ortamda giderek artan bir tehdittir.

Bu saldırıların doğası trafik yoğunluğuna odaklansa da, saldırganların bu tehditleri artırma mekanizmaları genellikle internete bağlı yaygın cihazların güvenlik açıklarıyla ilgilidir.

Parola hijyeninin kritik hale geldiği yer burasıdır.

  1. Botnet’ler ve DDoS saldırıları: Bir DDoS saldırganının cephaneliğindeki başlıca silahlardan biri, güvenliği ihlal edilmiş cihazlardan oluşan bir ağ olan botnet’tir. Bu zombi cihazları, hedefleri kötü niyetli trafikle doldurmak için koordineli bir saldırıya katılır. Peki cihazlar ilk etapta nasıl bir botnet’in parçası haline gelir?
  2. Kötü amaçlı yazılım yoluyla ele geçirme: Saldırganların yaygın olarak kullandığı yöntemlerden biri, kullanıcıları kötü amaçlı dosyalar indirmeleri için kandırmak ve cihazlarını botlara dönüştürmektir. Bir cihazın güvenliği ihlal edildiğinde, saldırgan tarafından uzaktan kontrol edilebilir ve büyük ölçekli DDoS saldırılarına katılabilir.
  3. Varsayılan şifreler ve cihazın ele geçirilmesi: Kötü amaçlı yazılımların ötesinde, siber suçlular genellikle kullanıcıların yetersiz şifre alışkanlıklarından yararlanır. Pek çok cihaz, özellikle IoT cihazları, kolayca tahmin edilebilecek kullanıcı adlarını ve şifreleri (“yönetici” veya “şifre” gibi) içerebilen varsayılan fabrika ayarlarıyla birlikte gelir. Saldırganlar bu tür savunmasız cihazlar için interneti tarayarak yetkisiz erişim elde edebilir, ayarları değiştirebilir ve cihazı botnet ordularına dahil edebilir.
  4. Parola hijyeninin rolü: Güçlü parola hijyeni, cihazların ele geçirilmesini ve DDoS’a yol açmasını önlemeye yardımcı olur. İşte nasıl:
    • Yönlendiriciler: İnternet bağlantınızın birincil ağ geçidi olan yönlendiriciler birincil hedeflerdir. Varsayılan kimlik bilgilerini değiştirmek ve yönlendiricinin donanım yazılımını güncellemek, ağınızı yetkisiz erişime karşı koruyabilir.
    • IoT cihazları: Akıllı buzdolaplarından güvenlik kameralarına kadar internete bağlı cihazlar hiçbir zaman varsayılan kimlik bilgilerini korumamalıdır. Bunları daima cihazın kurulumundan sonra değiştirin.
    • Şifreleri tehlikeye karşı düzenli olarak kontrol edin: Hedefli saldırılarda yer kazanmak için kullanılabilecekleri için Active Directory ortamınızdan çalınan veya ele geçirilen şifrelerin kullanımını engelleyin.
  5. Büyük resim: DDoS saldırıları ihlalden çok kesintiyi hedeflerken, zayıf parola uygulamaları nedeniyle ele geçirilen cihazlar veri hırsızlığı veya kötü amaçlı yazılımların yayılması gibi diğer tehditlere yol açabilir. Bazen DDoS saldırıları, altta yatan bir ihlal için sis perdesi işlevi bile görebilir.

Kimlik bilgilerine dayalı saldırılara karşı koruma sağlamak için Specops Parola Politikasıyla Parola Hijyenini İyileştirme

Siber ihlallerin birincil modu olan kimlik bilgilerine dayalı saldırılar, zayıf veya güvenliği ihlal edilmiş parolalardan yararlanır.

Specops Parola Politikası Specops Parola Politikası, bu tehditlerle mücadele etmek için birden fazla koruma katmanı sunan sağlam bir çerçeve sağlar.

  1. Zayıf şifreleri engelleyin: Specops Şifre Politikası, Active Directory’nizde zayıf şifrelerin kullanılmasını etkin bir şekilde engeller. Yaygın olarak kullanılan veya zayıf şifreleri içeren bir şifre sözlüğü kullanarak kullanıcıların kolayca tahmin edilebilecek şifreler belirlememesini sağlar. Özel sözlük özelliği, kuruluşların şirket adı, kısaltmalar, konum ve daha fazlası gibi ayrıntılarına özel şifreleri engellemesine olanak tanır.
  2. Uyumlu şifre politikaları: Küresel şifre standartlarıyla uyumluluğun sağlanması, düzenleme taleplerini karşılar ve daha yüksek güvenlik sağlar. Specops Parola Politikası, NIST, CJIS ve diğerlerinin düzenlemelerine uygun şablonlar sunarak parolaların belirli sektör uyumluluk standartlarıyla eşleşmesini veya aşılmasını sağlar.
  3. Şifre entropisi: Basit şifre uzunluklarının ötesine geçen Specops Şifre Politikası, karmaşıklığı zorlar. Tekrarlar veya aynı karakterlerin başında veya sonunda kullanılması gibi ortak karakter kalıplarını yasaklar. Sistem, parolaların kullanımını teşvik ederek kullanıcıların hatırlamadan ödün vermeden güçlü parolalar seçmesine yardımcı olur.
  4. Gerçek zamanlı geri bildirim: Son kullanıcılar Specops Şifre Politikası ile şifreleri değiştirdikçe veya belirledikçe gerçek zamanlı geri bildirim alırlar. Başarısız şifre değişiklikleri nedeniyle yardım masalarına yapılan çağrıların sayısını azaltarak, kullanıcıların ilk denemede güvenli şifreler seçmesine yardımcı olur.
  5. İhlal edilen şifre koruması: Bilinen ihlal edilen listelerde bulunanları ve şu anda saldırılarda kullanılanları içeren dinamik bir liste kullanarak 4 milyardan fazla ele geçirilen şifreyi engeller. Ek olarak sistem, bir kuruluş içinde halihazırda kullanılan, güvenliği ihlal edilmiş parolaları tespit edip ortadan kaldırmaya yardımcı olabilir.

Specops Şifre Politikasının ücretsiz deneme sürümünü edinmek ve şifre güvenliğini güçlendirmeye nasıl yardımcı olabileceğini görmek için burayı tıklayın.

Specops Software tarafından desteklenmiş ve yazılmıştır.



Source link