Saldırganlar gürültülü yazılımları bırakıp kimlik yönetimine yöneldi
Donanım Günlüğü kaynaklı yeni bir rapor, saldırganların artık ağlara zararlı yazılımlar yerine meşru erişim haklarını kullanarak sızma ve kalıcılık sağlamaya odaklandığını gösteriyor. “Siber Dünyanın Anatomisi” adlı çalışma, 2025 boyunca elde edilen MDR, IR, Compromise Assessment ve SOC Consulting verilerine dayandırılarak en sık görülen teknikleri ortaya koyuyor.
Raporun öne çıkan bulguları
Analiz, tespit edilen olayların büyük kısmının kimlik bilgileri ve kimlik yönetimi süreçleri etrafında şekillendiğini belirtiyor. En sık rastlanan taktikler arasında parola tahmini, yerel hesap oluşturma ve yetkili hesapların suistimali öne çıkıyor. Rapor verilerinde öne çıkan dönüşüm oranları şöyle sıralanıyor:
- Parola Tahmini (%34,8): Saldırganlar sistematik parola denemeleriyle hâlâ etkili erişim sağlıyor. Zayıf ya da yinelenen parolalar organizasyonları bu tehdide karşı savunmasız bırakıyor.
- Yerel Hesap Oluşturma (%34,7): Bir kez içeri giren saldırganlar, ilk erişim noktası kapanınca bile içeride kalabilmek için yeni yerel hesaplar oluşturuyor.
- Yetkili Hesapların Suistimali (%34,5): Ele geçirilen geçerli kimlik bilgileriyle yapılan girişler, normal kullanıcı etkinlikleri arasında kamufle olarak tespit edilmesini zorlaştırıyor.
- Hesap Manipülasyonu (%32): Mevcut hesaplar üzerinde yetki yükseltme, grup üyeliği değişiklikleri veya devre dışı bırakılmış hesapların yeniden aktif hale getirilmesi gibi işlemler içeride kalıcılığı sağlıyor.
- Ağ Servislerinin Keşfi (%31,2): Saldırganlar, yatay hareket ve daha derin sızma için önce ağ üzerindeki açık servisleri keşfediyor; bu adım erken tespit için kritik öneme sahip.
Neden “meşru davranış” taktikleri tercih ediliyor?
Rapor, saldırganların amaçlarının daha fazla dikkat çekmeden uzun süre kalmak olduğunu vurguluyor. Zararlı yazılımlar genellikle gürültü oluştururken, ele geçirilen kimlik bilgileriyle yapılan hareketler sistemler tarafından normal etkinlik olarak algılanabiliyor. Bu yaklaşım, tespit ve müdahale süreçlerini zorlaştırıyor ve savunma ekiplerinin doğru telemetriye sahip olmaması durumunda saldırganlara avantaj sağlıyor.
Savunma için öncelikler
Raporun yazarları, geniş saldırı tekniği kataloğu sunan MITRE ATT&CK matrisi gibi çerçevelerin faydalı olduğunu, ancak savunma ekiplerinin hata alarmlarını azaltırken kötü niyet olasılığı yüksek davranışlara öncelik vermesi gerektiğini belirtiyor. Ayrıca doğru telemetri ve sürekli izleme ile yerel hesap oluşturma gibi aktif kalıcılık tekniklerinin daha erken tespit edilebileceği vurgulanıyor.
Organizasyonlar için çıkarım basit: parola ve kimlik yönetimi uygulamalarını güçlendirmek, çok faktörlü kimlik doğrulama ve etkili günlükleme/telemetri altyapısı kurmak, bu tür saldırıların başarı şansını azaltacaktır. Rapor ayrıca MDR, IR ve SOC uygulamalarının koordinasyonunun önemine dikkat çekiyor.
Kaynak: Donanım Günlüğü
