Sulama deliği saldırıları: APT ve siber suçlular güvenli altyapılara nasıl sızıyor?

Siber suçluların dünyasıyla ilk karşılaşmam, yıllar önce bir su birikintisi saldırısı kampanyasıyla gerçekleşti. Farsça bir web sitesini ziyaret ettim ve ziyaretçilere kötü amaçlı yazılım indirdiğini keşfettim’ Tarayıcı. Hemen site yöneticisiyle iletişime geçtim, konuyla ilgili teknik bilgiye sahip olmadıklarını bana bildiren. İyi bilinen güvenlik açıklarına sahip eski bir CMS kullandıkları ortaya çıktı, Hangi suçluların belirli kitleleri hedeflemek ve kötü amaçlı yazılım yaymak için yararlandığı.

Sulama deliği saldırıları siber suçlular ve gelişmiş kalıcı tehditler tarafından tercih edilen yöntemlerden bazılarıdır (Apts). Bu saldırılarda, Siber suçlular adlı bir taktik kullanır. “Stratejik Web Uzlaşması” (SWC (SWC)) kurbanın kuruluşunun ağına erişmek için. Hedef kullanıcılar tarafından sık ziyaret edilen web sitelerini belirleyerek, Bir saldırgan bu web sitelerine kötü amaçlı yazılım bulaştırabilir ve şüphelenmeyen kullanıcılara indirebilir’ aygıt.

Sulama deliği saldırılarında kullanılan kötü amaçlı yazılımlar, tespit edilmekten kaçınmak ve hedefin cihazında tespit edilmeden kalmak için tasarlanmıştır, Saldırganlara hassas bilgilere sürekli erişim izni verme. Bu tür saldırılar özellikle endişe vericidir çünkü uzun süre fark edilmeyebilir, Saldırganların zaman içinde hassas bilgiler toplamasına izin verme.

Sulama deliği saldırılarında yaygın olarak kullanılan kötü amaçlı yazılım türlerinden biri polimorfik kötü amaçlı yazılımdır. Polimorfik kötü amaçlı yazılım, virüsten koruma yazılımı ve diğer güvenlik önlemleri tarafından algılanmamak için kodunu ve görünümünü sürekli olarak değiştirmek üzere tasarlanmış bir tür kötü amaçlı yazılımdır. Bu tür kötü amaçlı yazılımlar, kendisini birçok farklı biçimde mutasyona uğratabileceğinden özellikle tehlikelidir, geleneksel antivirüs/kötü amaçlı yazılımdan koruma yazılımlarının bunu algılamasını ve kaldırmasını zorlaştırır. Polimorfik kötü amaçlı yazılım, çeşitli yöntemler kullanarak görünümünü değiştirebilir, şifreleme dahil, sıkıştırma, ve rastgeleleştirme.

Su birikintisi saldırıları özellikle küçük işletmeler için tehlikelidir, çünkü genellikle daha büyük işletmelere kıyasla daha zayıf güvenlik önlemleri nedeniyle hedeflenirler. Fakat, Büyük kuruluşlar ve devlet kurumları bile su birikintisi saldırılarının kurbanı oldu.

Aşağıda, bu tür saldırıların kurbanı olma riskinizi azaltmak için atabileceğiniz bazı adımlar verilmiştir:

1. Web filtresini kullanma: Web filtreleme araçları, kötü amaçlı veya bilinmeyen web sitelerine ve web sayfalarına erişimi engelleyebilir. Bu, kullanıcıların yanlışlıkla sulama deliğinden kötü amaçlı yazılım indirmesini önler.
2. Yeni nesil antivirüs kullanın (NGAV (İngilizce)): NGAV çözümleri, yeni ve önceden bilinmeyen tehditleri belirlemek ve bunlara yanıt vermek için makine öğrenimi algoritmaları ve davranışsal analitik gibi gelişmiş algılama tekniklerini kullanır.
3. Uç nokta algılama ve yanıt uygulayın (EDR (EDR)): EDR çözümleri, dizüstü bilgisayarlar ve masaüstü bilgisayarlar gibi uç noktaları şüpheli davranışlara karşı izler ve tehditlere gerçek zamanlı olarak yanıt verebilir.
4. Ağ tabanlı algılama ve yanıt uygulayın (NDR (Radyo Kamerası): NDR çözümleri, şüpheli etkinlikler için ağ trafiğini izler ve geleneksel antivirüs çözümlerinin gözden kaçırabileceği tehditleri algılayabilir ve bunlara yanıt verebilir.
5. Tehdit istihbaratı kullanın: Tehdit istihbaratı hizmetleri, ortaya çıkan tehditler hakkında bilgi sağlayabilir, polimorfik kötü amaçlı yazılım dahil. Bu bilgileri, olası tehditleri belirlemek ve ağınızı korumak için uygun önlemleri almak için kullanabilirsiniz
6. Sıfır güven ağı uygulayın: Sıfır güven ağı, ağdaki her kullanıcının ve cihazın potansiyel bir tehdit olduğunu varsayan bir güvenlik modelidir. Ağdaki kaynaklara erişmeden önce kullanıcıların kimliklerinin doğrulanması gerekir, ve erişim gerekli olanla sınırlıdır.
7. Ağ segmentasyonunu kullanın: Ağ segmentasyonu, kritik sistemleri ve hassas verileri ağın geri kalanından ayırmaya yardımcı olur. Bu, başarılı bir saldırı durumunda kötü amaçlı yazılımın yayılmasını önler.