Siber suçların yeraltı dünyasında yeni bir iş modeli olan Hizmet Olarak Erişim (AaaS), tehdit aktörlerinin ağlara erişim yöntemlerini tek seferlik bir ücret karşılığında satmasını ifade ediyor. Erişim komisyoncusu veya ilk erişim komisyoncusu (IAB) olarak adlandırılan ve diğer saldırı gruplarına satmak üzere kurumsal kullanıcı kimlik bilgilerini çalan bir grup suçlumuz var. Alıcılar daha sonra hedeflenen kuruluştan gizli verileri sızdırmak için hizmet olarak fidye yazılımı (RaaS) veya hizmet olarak kötü amaçlı yazılım (MaaS) kullanıyor. Hizmet, genel hizmet olarak siber suç (CaaS) eğiliminin bir parçasıdır.
AaaS için ortak bir senaryoya bakalım: Bir güvenlik açığının ayrıntıları kamuya açıklanır yayınlanmaz, IAB’ler tuş vuruşlarını, oturum çerezlerini, kimlik bilgilerini, ekran görüntülerini ve video kayıtlarını, yerel bilgileri, tarayıcı geçmişini, yer imlerini ve pano materyalini ele geçirmek için bilgi hırsızları dağıtır. güvenliği ihlal edilmiş cihazdan. Bir bilgi hırsızı devreye girdiğinde, uzaktan erişim Truva Atı (RAT) etkinlikleri günlüğe kaydetmeye ve ham günlüklerde veri toplamaya başlar. Bu günlükler daha sonra Dark Web’de para kazanılabilecek ve satılabilecek kullanıcı adları ve şifreler açısından manuel olarak incelenir. IAB’lerin aradığı kimlik bilgileri arasında sanal özel ağlara (VPN’ler), uzak masaüstü protokollerine (RDP), Web uygulamalarına ve hedef odaklı kimlik avı ve iş e-postası ihlali (BEC) dolandırıcılığının gerçekleştirilmesinde etkili olan e-posta sunucularına erişim yer alır.
Bazı aracılar, sistemlerine erişim satmak isteyen sistem yöneticileriyle veya son kullanıcılarla doğrudan temas kurabilir. Son aylarda, tehdit grupları, büyük miktarda kripto para birimi ödemeleri karşılığında birkaç dakika boyunca kimlik bilgilerini paylaşmak isteyen yöneticiler ve son kullanıcılar için (Dark Web’de) reklam yayınladı. Bazı durumlarda tehdit grupları, belirli kuruluşlardan daha büyük ödemeler karşılığında erişimi paylaşmaya istekli çalışanlardan talepte bulundu.
IAB’leri Yenmeye Yönelik Karşı Önlemler
IAB’lerin çalınan kimlik bilgilerini toplamak ve satmak için bilgi hırsızlarını kullanma kolaylığı nedeniyle, karşı önlemlerin geliştirilmesi ve kullanılması, risk profilinizi anlamak açısından çok önemlidir. OSINT (açık kaynak istihbaratı), Dark Web’de veya World Wide Web’de neyin satışa sunulduğuna dair kapsamlı bir rapor sağlayabilir. Siber güvenlik şirketleri bu bilgileri toplayabilir ve sonuçların ayrıntılarını içeren raporlar sunabilir.
OSINT analizinin bulabileceği potansiyel güvenlik açıklarına ilişkin bazı örneklerin yanı sıra bilgilerin zarar görmesini önleyebilecek bir karşı önlem örneğini burada bulabilirsiniz.
- Şüpheli alan adları kaydedildi: Sahte veya sahte alan adlarını kaldırın
- E-posta adresleri sızdırıldı: E-posta adreslerini değiştirin veya e-posta adresinin sahibine ek bilgi sağlayın
- Üçüncü taraf ihlallerinde açığa çıkan kimlik bilgileri: Hesapları kilitleme veya şifreleri değiştirme
- Üçüncü taraf ihlalleri nedeniyle açığa çıkan yönetici e-postaları: Şifreleri değiştirin ve yöneticileri sıcak tutun
- Shodan’da ağ maruziyeti: İnternete yönelik altyapının etrafındaki güvenliği artırın
- Pastebin gönderilerinde bulunan bilgiler: Sızan bilgilerin kaynaklarını güvence altına alın ve bilgilerin nasıl sızdırıldığını analiz edin
- Çalınan şifreler: Şifreleri değiştirin ve kullanıcıları uyarın
- Kamu depolarında bulunan bilgiler: Bilginin kaynağını tespit edin ve sızdırılan bilgilerle ilgili güvenlik açıklarını kapatın
- Sosyal mühendislik için e-posta adresleri bulundu: E-posta adreslerinin sahipleri için kimlik avı ve sosyal mühendislik konusunda özel eğitim alınmasını zorunlu kılın
- Virüs içeren yazım hatası alan adı kayıtları: Alan adlarını kaldır
- Ağınızla ilgili teknik bilgiler: Bilgilerin nasıl çalındığını tespit edin ve bulunan tüm açıkları kapatın, ardından İnternetten bir sızma testi gerçekleştirin
- Ağınızdaki güvenlik açıkları: Tüm güvenlik açıklarını en kısa sürede düzeltin
- Ağınızdaki güvenli olmayan protokoller hakkında bilgi: Tüm güvenli olmayan protokolleri en kısa sürede kaldırın
- Güvenlik duvarı ve ana bilgisayar adı bilgileri: Ağdaki her şeyi bu bilgiyi göstermeyecek şekilde yapılandırın
- Kullanılan güvenlik açığı bulunan yazılımlar: Güvenlik açığı bulunan yazılıma yama yapın veya güvenliği sağlanamıyorsa kullanımını durdurun
- DNS bilgileri: Ağınız, genellikle bir proxy sunucusu kullanılarak İnternet adlarını ve IP adreslerini hiçbir zaman göstermeyecek şekilde yapılandırılmalıdır.
- SSH ve bağlantı noktası bilgileri: SSH’nin doğru yapılandırıldığından emin olun ve güvenliği test edin
- Güncel olmayan ve güvenlik açığı bulunan SSL bilgileri: tüm SSL’nin kaldırıldığından ve TLS 1.2 veya daha yüksek bir sürüme yükseltildiğinden emin olun
OSINT’in Önemi
Bir saldırganın ağa erişimi genellikle siber güvenlik uzmanlarının çözmesi gereken bir dizi olaya kadar uzanır. Bu, aşağıdaki gibi spesifik sorular sorarak yapılır: Saldırganlar ağa nasıl girdi? Ağa nasıl erişim sağladılar? İçeri girdikten sonra daha fazla erişim elde etmelerini sağlayacak hangi eylemleri gerçekleştirdiler? Şu anda, aktif dizinlerdeki yanlış yapılandırmalar, tehdit aktörlerinin kimlik bilgilerini hızla yükseltebilmesine, bazen de etki alanı yönetimine kadar ulaşabilmesine yol açmıştır!
Bu kritik bilgilerin ayrıntılarını veren OSINT raporları, kimlik bilgisi kaybı ve IAB’lere karşı bir savunma oluşturmak için gereken her şeyi sağlayabilir. Siber güvenlik ekipleri, Dark Web’den elde edilen bilgilerle kimlik bilgilerinin veya diğer marka bilgilerinin kaybına karşı önlemler oluşturabilir.
Gerçek riskler, Dark Web’de nelerin mevcut olduğunu bilmemekten kaynaklanmaktadır. İyi bir savunma oluşturmak için iyi bir zekaya sahip olmanız gerekir. Tehdit istihbaratı, siber güvenlik katmanları oluşturmanın genellikle gözden kaçan bir yönüdür. Tüm riskleri ortadan kaldıran sihirli bir savunma katmanı olmasa da OSINT, bu yeni ve yenilikçi türdeki tehdit grubuyla ilişkili riskleri önemli ölçüde azaltabilir.