Acil: Tehditler Geometri ile ‘İnsani’ Olmayı Nasıl Kanıtlıyor?

Gizli Siber Tehditler: Dijital Parazitler

Gizli siber saldırılar, günümüzde siber güvenlik alanının en büyük tehditlerinden biri haline gelmiştir. Saldırganlar, ses getirici ve yıkıcı saldırıları geride bırakarak, hedef sistemlere uzun vadeli ve tespit edilmeden sızmayı tercih etmeye başlamaktadır.

İlerleyen Evasion Teknikleri

Son dönemde, kötü niyetli yazılım geliştiricileri, işletim sistemlerine ve uygulamalara yönelik yüksek düzeyde duyarlı yükler tasarlayarak tespit edilmeden sızmayı sağlamaya yönelik tekniklerini önemli ölçüde geliştirmiştir. Bu bağlamda, Picus Red Report™ 2026, 2025 boyunca 1.1 milyonun üzerinde kötü amaçlı dosya ve 15.5 milyon eylemi inceleyerek, saldırganların daha karmaşık “Dijital Parazit” taktiklerine yöneldiğini ortaya koymaktadır. Rapor, en üst düzeyde gözlemlenen tekniklerin %80’inin tespit ve süreklilik sağlamak için özel olarak tasarlandığını belirtmektedir.

Etkilenen Sistemler

Modern kötü niyetli yazılımlar, sanal ortamları tanımlayabilmek için gelişmiş analitik yöntemler kullanarak, tespit edilmeden hedef sistemlere sızmaktadır. CVE listeleri ve MITRE ATT&CK®’daki T1497 gibi teknikler, bu siber tehditlerin etkisini ve yaygınlığını artırmaktadır.

Saldırı Nasıl Çalışıyor?

Modern kötü niyetli yazılımlar, aşağıda detaylandırılan üç ana teknik ile sanal sistemleri tespit ederek, etkilerini en aza indirmeye çalışır:

1. Sistem Kontrolleri (T1497.001): Ortam Kontrol Mekanizması

Sistem Kontrolleri, ev sahibi ortam hakkında bilgi toplamak için programatik veya betimsel gözlemler kullanmaktadır. Örneğin;

• İşlemci Sayısı: Dörtten az işlemci varsa, yükü iptal eder.
• Ekran Çözünürlüğü: Standart varsayılan sanal kutu boyutları ile eşleşiyorsa, yükleme işlemi sona erdirilir.
• Sandbox Sürücüleri: Bilinmiş analiz araçlarıyla ilişkili sürücü dizgileri aranır.

Örnek: Blitz zararlısı, uygun bir ortamda (örneğin, sanal makinelerde) çalışmak yerine, yalnızca gerçek kullanıcıların kontrolündeki sistemlerde aktif hale gelir.

2. Kullanıcı Aktivite Tabanlı Kontroller (T1497.002): İnsan Olduğunuzu Kanıtlamak

Kullanıcı Aktivite Tabanlı Kontroller, gerçek bir kullanıcı sisteminde mi yoksa otomatik analiz ortamında mı çalıştığını belirlemek için insan etkileşim kalıplarını analiz eder. Bu yöntem, kullanıcıların fare hareketlerini ve bu hareketlerin doğruluğunu matematiksel olarak değerlendirir.

• Hareket Yakalama: Sistem, fare hareketlerini kaydeder ve bunları inceler.
• Öklidyen Mesafe: Hareket vektörleri arasında mesafe hesaplamaları yapılır.

Eğer hareket doğal değilse, zararlı yazılım hiç çalışmaz.

3. Zaman Tabanlı Kontroller (T1497.003): Zamanı Yenmek

Zaman Tabanlı Kontroller, sistem saatini, çalışma süresini veya işlem hızını izleyerek sanal ortamlarda ortaya çıkan zaman anormalliklerini belirler. Blitz zararlısı, iki eş zamanlı iş parçacığını karşılaştırarak bu kontrolü gerçekleştirir.

• Ana İş Parçacığı: CPUID döngüleri ile işlem yapar.
• İkincil İş Parçacığı: Karmaşık hesaplamalar yaparak sonuçları toplar.

Bu kıyaslama, eğer sistem bir sanal makineyse, zararlı yazılımın kendini sonlandırmasına neden olur.

Çözüm ve Korunma

Gizli siber tehditlere karşı korunmak için şu adımlar izlenmelidir:

• Güncellemeleri Yapın: İşletim sistemi ve yazılımları en güncel sürümlerle güncelleyin.
• Portları Kapatın: Gereksiz portları kapatarak sisteminizi koruyun.
• Davranış İzlme Araçları Kullanın: Davranış avcılığı teknikleriyle gerçek zamanı izleyin.

Siber güvenlik ekipleri, dosya analizinden ziyade, saldırgan davranışlarını doğrulamak için Adversarial Exposure Validation (AEV) gibi araçları kullanmalıdır.

Etkili bir savunma için Picus Red Report 2026‘da önerilen beş Red Report Tehdit Şablonu ile güvenli simülasyon gerçekleştirerek, mevcut güvenlik kontrollerinin etkisini değerlendirin.