SSH sunucularına yönelik kaba kuvvet saldırılarına ilişkin dört yıllık kapsamlı bir çalışma, internete bağlı sistemlere yönelik bu siber saldırıların sıklığında ve karmaşıklığında endişe verici bir artış olduğunu ortaya çıkardı.
Utah Üniversitesi’ndeki bilim adamlarının araştırması, sunuculara, yönlendiricilere, IoT cihazlarına ve daha fazlasına yetkisiz erişim sağlamaya çalışan saldırganların kullandığı gelişen taktikler hakkında benzeri görülmemiş bir bakış açısı sağlıyor.
Araştırmayı yöneten doktora öğrencisi Sachin Kumar Singh, “SSH kaba kuvvet saldırıları yalnızca kalıcı olmakla kalmıyor, aynı zamanda hızla daha agresif bir şekilde büyüyor” dedi. “Verilerimiz, özellikle son yıllarda günlük saldırı girişimi sayısının hızla arttığını gösteriyor.”
Araştırmacılar, dünya çapında akademik araştırmacılar tarafından kullanılan genel bulut platformu CloudLab’daki 500’den fazla sunucuda 427 milyondan fazla başarısız SSH oturum açma girişimini analiz etti. Bulguları, modern siber güvenlik ortamının ciddi bir resmini çiziyor.
Hedefleri Değiştirmek
Saldırganlar geçmişte “kök” ve “yönetici” gibi yaygın yönetici kullanıcı adlarını tahmin etmeye odaklanmış olsa da, araştırma son yıllarda kayda değer bir değişim olduğunu ortaya çıkardı.
Siber suçlular artık ağırlıklı olarak bulut hizmeti görüntüleri, ağ cihazları, IoT ürünleri ve belirli yazılım paketleriyle ilişkili kullanıcı adlarını hedef alıyor
Singh, “Saldırganlar internet yönlendiricileri ve veri tabanı sunucularından oyun yazılımlarına ve bulut kullanımına yönelik Linux dağıtımlarına kadar her şey için kullanıcı adlarının peşine düşüyor” dedi.
“İnternete bağlı çok çeşitli cihaz ve hizmetlerden ödün vermeye çalışıyorlar.”
Araştırmacılar, ilgili güvenlik açıklarının kamuya açıklanmasının hemen ardından belirli kullanıcı adlarına ve cihazlara yönelik saldırılarda ani artışlar tespit etti; bu da saldırganların yeni açıkları hızla devreye soktuğunu gösteriyor.
Are you from the SOC and DFIR Teams? – Analyse linux Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.
Kalıcı ve Gelişen Tehditler
Veriler, hedeflenen kullanıcı adlarındaki değişikliklerin ötesinde, çok çeşitli saldırgan davranışları ve ısrar düzeylerini ortaya çıkardı.
Saldırıların yarısından fazlası 24 saat içinde kaybolan IP adreslerinden gelirken, bazı saldırganlar çabalarına aylarca, hatta yıllarca devam etti.
Bazı saldırganlar yalnızca bir avuç kullanıcı adı girişiminde bulunurken, diğerleri binlerce farklı kombinasyon arasında geçiş yaptı. Çalışma aynı zamanda birden fazla IP adresinde aynı kullanıcı adı listelerini paylaşan saldırgan gruplarını da ortaya çıkardı; bu da koordinasyonun göstergesidir.
Çalışmayı denetleyen Utah Üniversitesi’nden araştırma profesörü Robert Ricci, “Kaba kuvvet saldırısı ortamı son derece dinamik” dedi. “Saldırganlar taktiklerini sürekli olarak yeni istihbarat ve güvenlik açıklarına göre uyarlıyorlar. Bu tehditlere karşı savunma yapmak gelişmiş, gelişen savunma önlemlerini gerektirir.”
Yeni Bir Savunma
Araştırmacılar, saldırıya karşı koymak için Sözlük Tabanlı Engelleme (DBB) adı verilen bir savunma tekniği geliştirdiler. Saldırganların kullandığı kullanıcı adı sözlüklerini analiz eden DBB, meşru kullanıcı erişimine izin verirken kaba kuvvet saldırılarının %99,5’ini engelleyebilir.
Endüstri standardı Fail2ban aracıyla karşılaştırıldığında DBB, hatalı pozitifleri %83 oranında azaltırken önemli ölçüde daha yüksek engelleme oranları elde etti. Araştırmacılar, daha önce engellenmeyen beş saldırıdan dördünü önleyen DBB’yi CloudLab’a yerleştirdiler.
Singh, “Sözlük Tabanlı Engelleme, kaba kuvvet saldırılarına karşı savunmada yeni bir sınırı temsil ediyor” dedi. “Kritik altyapıyı ve internet hizmetlerini bu kalıcı tehditlerden korumak açısından oyunun kurallarını değiştirebilir.”
Araştırma, anahtar tabanlı kimlik doğrulama ve güçlü parolalar kullanmak gibi güvenli uygulamaların önemini vurguluyor. Saldırganlar giderek daha inatçı ve yenilikçi hale geldikçe, güvenli bir internet ekosistemini sürdürmek için yeni savunma yaklaşımları gerekli olacaktır.
Secure your emails in a heartbeat! To find your ideal email security vendor, Take a Free 30-Second Assessment.