Splunk, siber güvenlik ekiplerinin yaygın hasara neden olmadan önce ESXI altyapısını hedefleyen fidye yazılımı saldırılarını tespit etmesine ve önlemeye yardımcı olmayı amaçlayan kapsamlı bir savunmacı rehberi yayınladı.
Rehber, kuruluşların VMware’in ESXI hipervizör platformunu yüksek değerli bir saldırı vektörü olarak hedefleyen siber suçluların montaj baskısıyla karşılaşmaya devam ettikçe ortaya çıkıyor.
Kritik altyapı için büyüyen tehdit
ESXI ortamları, merkezi doğaları ve kurumsal ortamlarda yaygın kullanımları nedeniyle fidye yazılımı operatörleri için ana hedefler haline gelmiştir.
Hafif, çıplak metal hipervizör, birden fazla sanal makinenin tek bir fiziksel sunucuda çalışmasına izin vererek, tek bir uzlaşmanın tüm kuruluşun altyapısını sakatlayabileceği çekici bir hedef haline getirir.
Bu saldırıların şiddeti, MGM Resorts’un 100’den fazla şifreli hipervizör ve günler içinde 100 milyon dolarlık kayıpla sonuçlanan yıkıcı bir ihlal yaşadığı 2023’te gösterildi.
Bu olay, genellikle birçok kurumsal ortamda izlenen ESXI sistemleri için gelişmiş izleme ve erken tespit yeteneklerine yönelik kritik ihtiyacı vurguladı.
Splunk’ın yeni kılavuzu, Syslog için Splunk Connect, özel syslog sunucuları ve doğrudan yutma özellikleri dahil olmak üzere birçok yöntemle ESXI günlüklerini güvenlik platformlarına yutmak için ayrıntılı talimatlar sunar.
Şirket, uygun günlük koleksiyonunun, tam ölçekli bir fidye yazılımı dağıtımına yükselmeden önce kötü niyetli etkinlikleri tespit etmek için temel olduğunu vurgulamaktadır.
Kılavuz, sistem düzeyinde aktiviteleri yakalayan kabuk komut günlüklerinden, ana bilgisayar yönetimi hizmeti etkinliklerini kaydeden hostd günlüklerine kadar farklı ESXI günlük türlerinin analizini içerir.
Bu çeşitli günlük kaynaklarını anlamak, güvenlik ekiplerinin devam eden bir saldırıyı gösterebilecek şüpheli kalıpları tanımlamasını sağlar.
Kılavuzun merkezinde, ortak saldırı davranışlarını hedefleyen kapsamlı bir algılama kuralları koleksiyonu bulunmaktadır.
Bunlar, saldırganların sistem bilgilerini topladığı keşif faaliyetlerinin izlenmesi, beklenmedik yönetici rolü atamaları gibi şüpheli hesap faaliyetleri ve VIB (vsphere kurulum paketi) manipülasyonları aracılığıyla yetkisiz yazılım kurma girişimleri bulunmaktadır.
Kılavuz ayrıca, yetkisiz SSH etkinleştirme ve saldırganların kalıcı erişimi sürdürmek için kullandığı güvenlik duvarı değişiklikleri de dahil olmak üzere erişim kontrolü değişikliklerinin algılanmasını da kapsamaktadır.
Ayrıca, saldırganların denetim günlükleri ile kurcalanarak veya sistem saatlerini manipüle ederek izlerini örtmeye çalıştıkları gösterge kaldırma tekniklerini ele alır.
Güvenlik uzmanları, birçok kuruluşun ESXI ortamlarında yeterli görünürlükten yoksun olduğunu belirterek Splunk’ın girişimini memnuniyetle karşıladı.
Rehberin, dağıtıma hazır algılama kuralları ve kapsamlı yapılandırma talimatları içeren pratik yaklaşımı, kurumsal güvenlik izlemede kritik bir boşluğu ele almaktadır.
Fidye yazılımı grupları taktiklerini geliştirmeye ve sanallaştırılmış altyapıyı hedeflemeye devam ettikçe, Splunk’ın Defender’ın rehberi gibi kaynaklar, kritik sistemlerini ve verilerini giderek daha karmaşık siber tehditlerden korumak isteyen kuruluşlar için temel araçları temsil ediyor.
AWS Security Services: 10-Point Executive Checklist - Download for Free