SOC ekiplerinin kuruluşlarını fidye yazılımı saldırılarına karşı savunabilmesi için doğru güvenlik araç setine sahip olmaları ve aynı zamanda üç ana fidye yazılımı saldırısı aşamasını anlamaları gerekir. Bu makalede, bu önemli aşamalara dalacağız, bunların nasıl ortaya çıktığına ve hangi işaretlerin bir saldırıyı işaret ettiğine bakacağız ve herhangi bir hasarı azaltmak için neler yapılabileceğini gözden geçireceğiz.
Fidye yazılımı saldırıları söz konusu olduğunda, çoğu zaman savunuculara ne olduğu konusunda ipucu verecek bir “kesin silah” yoktur. Bunun yerine, saldırının farklı aşamalarında genellikle tek tek bakıldığında zararsız görünen birçok farklı uzlaşma göstergesi (IoC) vardır. Sonuç olarak, mümkün olduğu kadar çok sayıda IoC’yi mümkün olduğu kadar erken tanımlamak ve ardından bunların ilişkili olup olmadığını belirlemek önemlidir. Bu, analistlerin bir fidye yazılımı saldırısının ilk aşamalarını saldırı zincirinde yeterince erken bir araya getirmesine olanak tanır.
SOC ekiplerinin fidye yazılımı saldırısı çok ilerlemeden ve veri sızıntısı ve şifrelemeden çok önce harekete geçmesi gerektiğinden bu, bir saldırıyı önlemek için kritik öneme sahiptir. Ne yazık ki SOC ekiplerinin, bırakın gördükleri göstergelerin ilişkili olup olmadığını belirlemek bir yana, bir fidye yazılımı saldırısının erken aşamalarını tespit etmeleri bile çok sayıda manuel tehdit avı ve araştırma çalışması gerektiriyor. Bu, ekibin, saldırı olgunlaşmadan ve fidye yazılımı “patlatılmadan” önce durdurma şansı elde etmesini geciktirir.
Bu önemli aşamalar nelerdir ve siz ve SOC ekibiniz her birinde fidye yazılımını nasıl tespit edebilirsiniz? Hadi dalalım.
Aşama 1 – Bir dayanak noktası oluşturun
Fidye yazılımı saldırısının ilk aşaması sağlam bir yer oluşturmaktır. Saldırganlar ağa ilk erişim sağladıktan sonra saldırı bu aşamaya girer. İlk izinsiz giriş birçok farklı yolla gerçekleştirilebilir ancak genellikle e-posta kimlik avı ile başlar. Bilgisayar korsanları ayrıca oteller veya çalışanların erişim noktaları gibi halka açık Wi-Fi merkezlerinden de veri elde edebilir. Bu, sonuçta, bir çalışanın, saldırının ilerleyebileceği ve bir dayanak oluşturabileceği ana kurumsal ağa yeniden bağlanacağı beklentisiyle, ilk fidye yazılımı bileşenlerini kurumsal cihazlara yüklemelerine yol açar.
Daha sonra, fidye yazılımı bir komuta ve kontrol (C2) sunucusuna geri bağlantı kuracak ve ardından ağa nasıl daha fazla nüfuz edeceğini ve kritik veya hassas verilerin nerede tutulduğunu bulmak için yanal olarak nasıl hareket edeceğini belirleyecek. Örneğin, bir bilgisayar korsanı, bir ana bilgisayara erişim sağlamak için uzaktan erişim truva atını kullanabilir. Bilgisayar korsanı daha sonra ağı keşfedecek, ana bilgisayar hizmetlerini tanımlayacak ve bu bağlantıları veritabanı gibi merkezi bir uygulamayla eşleştirmeye çalışacak. Saldırganın mevcut erişim kurallarını aşabilmesi veya ağda daha etkili bir şekilde dolaşmak için kimlik bilgilerini çalabilmesi daha da iyidir.
Fidye yazılımlarının bu erken aşamada ilerlemesini nasıl tespit edebilir ve durdurabilirsiniz? Ağdaki garip veya sıra dışı kullanıcı ve varlık davranışlarının tanımlanmasını gerektirir; örneğin, kendi çalışma kapsamları dışındaki dosyalara erişme, ağ üzerinde şirket tarafından onaylanmayan harici yazılım yükleme, DNS sorgularına bakma ve daha fazlası.
Bu etkinliklerin çoğu, normal BT yöneticisi etkinliğini gösterebilir; dolayısıyla anahtar, bir kullanıcının normal davranış biçiminden sapmaları tanımlayabilmektir. Bunu yapmak için SOC ekiplerinin kullanıcı davranışı analitiğini ve makine öğrenimini eşleştiren güvenlik çözümlerini (örneğin yeni nesil SIEM çözümü) devreye alması gerekiyor. SOC bu etkinliği göremezse fidye yazılımını bu erken aşamada durduramaz.
Aşama 2 – Ayrıcalıkları artırın ve yanlara doğru ilerleyin
Ayrıcalık yükseltme ve yatay hareket aşaması, ağdaki diğer sistemlere daha fazla erişim elde etmeyi içerir. Bir kuruluşun ağına erişim sağladıktan sonra bilgisayar korsanları, fidye yazılımını yükleyebilecekleri tüm yerlerin haritasını çıkaracak. Bu süreç, bilgisayar korsanlarının hassas bilgiler, dosyalar, uygulamalar veya şirkete zarar verebilecek herhangi bir şey için ağı keşfetmesini ve böylece bundan büyük bir kazanç elde edebilmesini içerir. Potansiyel olarak daha hassas bilgiler içeren daha büyük bir veritabanına erişim kazanmak, daha şiddetli bir fidye yazılımı saldırısına ve bilgisayar korsanı için daha büyük bir ödemeye neden olacaktır.
Bilgisayar korsanları çok sayıda hassas bilgi içeren bir veritabanına erişim sağladıktan veya ağ üzerinde kontrol sahibi olduktan sonra, saldırganlar PuTTY gibi yazılımları farklı alanlara dağıtmaya başlayacak, daha fazla dayanak noktası oluşturacak ve tespit edilmeleri durumunda fidye yazılımları için yedekler oluşturacak.
Bu tür olayların en son örneği, hacker grubu Scattered Spider’ın MGM mülklerine fidye yazılımı saldırısı düzenlediği Las Vegas’ta yaşandı. Bilgisayar korsanları, LinkedIn’de buldukları bir MGM çalışanının kimliğine büründü ve şirketin BT yardım masasını arayıp o çalışan gibi davranarak MGM’nin iç sistemlerine ve ağlarına erişim sağladı. Bilgisayar korsanları, sahte kimlik bilgileri aracılığıyla ağa erişim sağladıktan sonra fidye yazılımını patlattı ve slot makinelerini kapattı, misafirleri odalardan kilitledi ve şirketin ağlarına ve uygulamalarına başka zararlar verdi.
Ayrıcalık artışının ve yanal hareketin meydana gelip gelmediğini nasıl tespit edebilirsiniz? Bunun gerçekleştiğini gösteren bir işaret, ağınıza yeni, yetkisiz uygulamaların yüklenmesidir. PuTTY gibi uygulamalar indirilirse bu büyük bir tehlike işareti olabilir. Uygulama, tehlikeli dosyaları ağa aktarma sürecinde olabilir. Diğer uzlaşma göstergeleri şunları içerir:
- Web sitesi altyapısına erişim
- Belirli DNS adreslerini arıyorum
- Dropbox gibi harici bulut hizmetlerine bağlanma
Yine, bu işaretlerin ayırt edilmesi zor olabilir çünkü bu eylemler, hassas verilere erişim yetkisine sahip biri tarafından yapılıyormuş gibi görünse de aslında bunları ağda taklit eden bir bilgisayar korsanı olabilir.
Aşama 3 – Fidye yazılımını yükleyin
Bilgisayar korsanları önemli verileri bulduktan sonra gerçek fidye yazılımı yükünü indirmeye başlayacaklar. Verileri sızdırabilir, bir şifreleme anahtarı oluşturabilir ve ardından hayati verileri şifreleyebilirler. Bu aşamadaki IoC’ler, bir C2 sunucusuyla iletişimi, veri hareketini (saldırganın önemli verileri şifrelemeden önce sızdırması durumunda) ve şifrelenmiş trafik etrafında olağandışı etkinliği içerir.
Bu aşamada tespit, daha gelişmiş güvenlik ürünlerinin uyum içinde çalışmasını gerektirir. Farklı analiz türlerini bir arada zincirleyen model, fidye yazılımı söz konusu olduğunda küçük risk göstergelerini yakalamanın etkili bir yoludur çünkü bunlar ağdaki bağlamı gerçek zamanlı olarak toplayarak SOC ekiplerinin anormal bir davranış meydana geldiğinde tespit etmesine olanak tanır.
Bir güvenlik uyarısı tetiklenirse bu diğer analizler, daha büyük bir saldırının olup olmadığı ve nasıl gerçekleştiğini bir araya getirmeye yardımcı olacak daha fazla bağlam sağlayabilir. Ancak başarılı fidye yazılımı saldırılarının çoğu, antivirüs yazılımını hiçbir şekilde tetiklemeyeceğinden, kullanıcı davranışlarının doğru bir resmini oluşturmak ve çok sayıda göstergeyi tutarlı bir zaman çizelgesinde derlemek hayati öneme sahiptir.
Fidye yazılımı saldırılarını tespit etmek kuruluşlar için zor olsa da, bir fidye yazılımı saldırısının tüm ince IoC’lerini tanımlayabilmek, kuruluşunuzun saldırının hangi aşamada olduğunu ve ilerlemesini durdurmak için neler yapabileceğinizi anlamasına yardımcı olacaktır. Bu IoC’ler küçük olsa da bunların hepsini birbirine bağlama yeteneği kritik öneme sahiptir. Davranış analitiği ve model zincirlemenin yanı sıra makine öğrenimi teknolojisini kullanarak kuruluşunuz, fidye yazılımı saldırılarının neden olduğu hasarı tespit etmek ve azaltmak için ihtiyaç duyduğu araçlarla donatılacaktır.