Giriş
Günümüzde siber saldırılar, özellikle uzak masaüstü protokollerinin (RDP) kötüye kullanılmasıyla yaygın hale gelmiştir. Bu tür saldırılar, işletmelerin veri güvenliğini tehlikeye atabilecek karmaşık bir ekosistem oluşturmakta ve siber güvenlik alanında ciddi bir tehdit oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
Bir ağ, İnternete açık bir Remote Desktop (RDP) sunucusu barındırıyordu. Bu durum, siber saldırganların hedeflerine ulaşmasına olanak tanıyarak çeşitli sorunlar yaratabilir. Bu makalede, bir brute-force saldırısının nasıl daha büyük bir fidye yazılımı ekosisteminin kapısını açtığını inceleyeceğiz.
Brute Force Tekniği
Brute-force saldırıları, genellikle basit bir teknik olarak görülse de, bu tür olaylar sırasında karşılaşılan sinyaller genellikle tehdit aktörlerinin saldırı zincirinin “orta” kısmında bulunur. Bu nedenle, bir sinyal alındığında, geçmişe ve geleceğe dönük olarak çalışmak gereklidir.
Araştırmalarımız sonucunda, etkilenen makinelerdeki Windows olay günlükleri incelendiğinde RDP hizmetinin brute-force saldırısına uğradığı tespit edildi. Bu saldırı, yalnızca bir hesabın başarıyla ele geçirilmesine neden oldu, ancak birçok hesabın hedef alındığı belirlendi. Ele geçirilen hesabın birden fazla IP adresinden giriş yapılmasıyla ilgili olduğu anlaşıldı. Bu durumun başlıca sebebi, tek bir tehdidin farklı altyapılar kullanarak girmeye çalışmasıydı.
Etkilenen Sistemler
Bu brute-force saldırısı sonucunda, saldırganın ağa erişim sağlamasıyla birlikte, şu işlemler gerçekleştirildi:
- Domain keşfi yapıldı.
- Çeşitli gruplar ve yapılandırmalar hakkında bilgi toplandı.
Saldırganın ağa erişim sağlaması, tüm ağın tehlikeye girmesine neden oldu. Bu aşamada, ağın tümü boyunca daha fazla ilerlemenin önlenmesi için izole edilmesi yönünde acil bir karar alındı.
Altyapıyı Çözmek
Yapılan analizlerde, brute-force saldırısına neden olan IP adreslerinin kötü amaçlı aktivitelerle ilişkili olduğu belirlendi. Özellikle bir IP’nin Hive ransomware ile ilişkili olduğu tespit edildi. IP adreslerinin yanı sıra, aynı zamanda specialsseason[.]com adlı kötü amaçlı bir domain ile ilişkilendirildi.
Bu doğrultuda, başka kötü amaçlı IP’ler ve domainler bulmak üzere TLS sertifikalarına yönelik inceleme yapıldı ve yeni bir kötü amaçlı domain, 1vpns[.]com keşfedildi. Bu domain, siber suçlular için ideal bir hizmet sağlayan bir VPN hizmetine işaret etmekteydi.
Çözüm ve Korunma
Kurumların, bu tür saldırılardan korunmak amacıyla aşağıdaki tedbirleri alması önerilir:
- RDP erişimini kapatın veya sadece güvenilir IP adreslerine açın.
- Ağ tunnel’larını izleyin ve şüpheli aktiviteleri rapor edin.
- Güncellemeleri düzenli olarak yapın ve tüm yazılımların en son sürümde olduğundan emin olun.
- Güçlü şifre politikaları uygulayın.
- İzleme ve yanıt sistemlerinizi geliştirin.
Sonuç
Siber güvenlik alanında dikkatli olmak, sadece yüksek dereceli saldırılara karşı değil, temel brute-force saldırılarına karşı da önemlidir. Bu tür olaylar, daha geniş bir siber suç örgütünün varlığının habercisi olabilir. Kurumların, bu tür saldırılara karşı proaktif yaklaşımlar geliştirmesi ve sürekli olarak güvenlik önlemlerini gözden geçirmesi gerekmektedir.
