SELAMLAR THT AİLESİ. BUGÜN SİZLERE, ÇOK CİDDİ BİR SİBER TEHDİT OLAN Zero-day AÇIĞINDAN BAHSEDECEĞİM.
İYİ OKUMALAR
İçinde büyük şirketlerin de bulunduğu birçok sistemde, her ne kadar da kontrol edilse dahi tespit edilemeyen açıklar bulunabilmektedir.
Bu açıkları tespit edip, zaafiyetlerden faydalanarak kazanç elde edilme olayına Zero-day denir.
Zero-day terimi, geliştiricinin açığı yeni öğrenmesinden kaynaklı olarak kullanılır. Bu aşamada bilgisayar korsanları etkili bir savunmanın olmadığını bilerek güvenlik açıklarından kolayca yararlanabilir. Etkili bir savunma olmadığı için sistemdeki açığı kapatmaya zaman olmayacağından, bu saldırıya Zero-day(Sıfır Gün) ismi verilmiştir.
ZERO DAY SALDIRISI NASIL YAPILIYOR?
Sistemde tespit edilen açığa uygun bir exploit hazırlanıp sisteme yüklenir. Bunun ardından sisteme uygulanan Exploit kodu, yazılım kullanıcılarının kimlik hırsızlığı veya daha başka siber suç biçimleri kaynaklı olarak zarar görmelerine neden olabilir. Saldırganların, sıfır gün güvenlik açığını belirledikten sonra güvenlik açığı bulunan sisteme erişmenin bir yolunu bulmaları gerekir. Bunu genellikle bir sosyal mühendislik e-postası aracılığıyla yaparlar. Bu, bilinen veya yasal bir taraftan gelmiş izlenimi bırakan ancak gerçekte bir saldırganın gönderdiği bir e-posta veya başka bir iletidir. Mesaj, kullanıcıyı bir dosyayı açmaya veya kötü amaçlı bir web sitesini ziyaret etmeye ikna etmeye çalışır. Bunu yapmak, saldırganın kötü amaçlı yazılımını karşıdan yükler ve bu da kullanıcının dosyalarına sızarak gizli verilerini çalar.
Saldırı olduğunu anlayan geliştirici, açığı yamalamaya çalışır ancak açık hemen tespit edilemediğinden yapılabilecek pek bir şey yoktur.
ZERO DAY SALDIRISINI KİMLER YAPAR?
İYİ OKUMALAR
İçinde büyük şirketlerin de bulunduğu birçok sistemde, her ne kadar da kontrol edilse dahi tespit edilemeyen açıklar bulunabilmektedir.
Bu açıkları tespit edip, zaafiyetlerden faydalanarak kazanç elde edilme olayına Zero-day denir.
Zero-day terimi, geliştiricinin açığı yeni öğrenmesinden kaynaklı olarak kullanılır. Bu aşamada bilgisayar korsanları etkili bir savunmanın olmadığını bilerek güvenlik açıklarından kolayca yararlanabilir. Etkili bir savunma olmadığı için sistemdeki açığı kapatmaya zaman olmayacağından, bu saldırıya Zero-day(Sıfır Gün) ismi verilmiştir.
ZERO DAY SALDIRISI NASIL YAPILIYOR?
Sistemde tespit edilen açığa uygun bir exploit hazırlanıp sisteme yüklenir. Bunun ardından sisteme uygulanan Exploit kodu, yazılım kullanıcılarının kimlik hırsızlığı veya daha başka siber suç biçimleri kaynaklı olarak zarar görmelerine neden olabilir. Saldırganların, sıfır gün güvenlik açığını belirledikten sonra güvenlik açığı bulunan sisteme erişmenin bir yolunu bulmaları gerekir. Bunu genellikle bir sosyal mühendislik e-postası aracılığıyla yaparlar. Bu, bilinen veya yasal bir taraftan gelmiş izlenimi bırakan ancak gerçekte bir saldırganın gönderdiği bir e-posta veya başka bir iletidir. Mesaj, kullanıcıyı bir dosyayı açmaya veya kötü amaçlı bir web sitesini ziyaret etmeye ikna etmeye çalışır. Bunu yapmak, saldırganın kötü amaçlı yazılımını karşıdan yükler ve bu da kullanıcının dosyalarına sızarak gizli verilerini çalar.
Saldırı olduğunu anlayan geliştirici, açığı yamalamaya çalışır ancak açık hemen tespit edilemediğinden yapılabilecek pek bir şey yoktur.
ZERO DAY SALDIRISINI KİMLER YAPAR?
- Siber suçlular – Saldırı yaptıkları sistemlerden genellikle finansal kazanç elde etmek isteyen kişi veya gruplar
- Hacktivistler –Amaçları, siyasi veya sosyal olaylara dikkat çekmek olan kişi veya gruplar
- Kurumsal casusluk – Şirketlerle ilgili bilgi edinmek için casusluk yapan kişi veya gruplar
- Siber savaş düzenleyen korsanlar – Başka bir ülkenin siber altyapısına yönelik casusluk veya saldırı eylemleri gerçekleştiren ülkeler veya siyasi aktörler
ZERO DAY SALDIRISINDAN KORUNMA YOLLARI
1) Kullanılan sistem yazılımları ve işletim sistemleri sürekli gücek tutulmalıdır. Çünkü güncel sürümlerde, eski sürümlerde bulunan açıklar güvenlik açıkları yamalanır.
2) Siber güvenlik, güvenlik açıkları ve bu açıkları kapatma hakkında eğitimler alınmalıdır.
3) Sistemde güvenlik duvarı oluşturulmalı ve sürekli aktif tutulmalıdır.
4) Sistemi güvende tutabilecek, kapsamlı ve sağlam antivirüsler kullanılmalı.
5) Kullanılan yazılım ve uygulamalar sınırlı tutulmalıdır. Çünkü kullanılan uygulama sayısı ne kadar artış gösterirse, güvenlik açığı da aynı boyutta artış gösterecektir.
ZERO DAY SALDIRISINA UĞRAYAN BAZI ÖNEMLİ ŞİRKETLER
2021: Chrome sıfır gün güvenlik açığı
2021'de Google'ın Chrome tarayıcısı bir dizi sıfır gün tehdidi yaşadı ve bunlar, Chrome'un çeşitli güncellemeler yayınlamasına neden oldu. Güvenlik açığının sebebi, web tarayıcısında kullanılan V8 JavaScript motorundaki bir hataydı.
2020: Zoom
Popüler video konferans platformunda bir güvenlik açığı bulundu. Bu sıfır gün saldırısı örneğinde, bilgisayar korsanları Windows'un eski bir sürümünü kullanan kullanıcıların bilgisayarlarına uzaktan erişebilmeyi başarmıştı. Hedefin bir sistem yöneticisi olması durumunda, bilgisayar korsanı kullanıcının makinesini tamamen ele geçirip tüm dosyalarına erişebiliyordu.
2020: Apple iOS
Apple’ın iOS’u çoğu zaman büyük akıllı telefon platformlarından en güvenlisi olarak anılır. Ancak 2020 yılında, saldırganların iPhone'ları uzaktan ele geçirmesine olanak sağlayan sıfır gün hatası da dahil olmak üzere en az iki iOS sıfır gün güvenlik açığı ortaya çıktı.
2019: Microsoft Windows, Doğu Avrupa
Yerel yükseltme ayrıcalıklarına ve Microsoft Windows'un savunmasız bir kısmına odaklanan bu saldırıda Doğu Avrupa'daki devlet kurumları hedef alındı. Sıfır gün exploit’i, Microsoft Windows'ta rasgele kod çalıştırmak, uygulamaları yüklemek ve güvenliği aşılmış uygulamalardaki verileri görüntülemek ve değiştirmek için bir yerel ayrıcalık güvenlik açığını kullandı. Saldırı tespit edildikten ve Microsoft Güvenlik Yanıt Merkezi'ne bildirildikten sonra, bir düzeltme eki geliştirilip kullanıma sunuldu.
2017: Microsoft Word
Bu sıfır gün exploit’i ile kişisel banka hesap bilgileri ele geçirildi. Kurbanlar, farkında olmadan kötü amaçlı bir Word belgesini açan insanlardı. Belgede, kullanıcılardan başka bir programdan harici erişim talep eden bir açılır pencere gösteren bir "uzak içerik yükle" istemi görüntüleniyordu. Kurbanlar "evet" seçeneğine tıkladığında, bankacılık oturum açma kimlik bilgilerini kaydedebilen kötü amaçlı yazılım cihazayükleniyordu.
Stuxnet
Sıfır gün saldırısının en ünlü örneklerinden biri de Stuxnet'ti. İlk olarak 2010 yılında keşfedilen ancak kökleri 2005'e kadar giden bu kötü amaçlı bilgisayar solucanı, programlanabilir mantıksal denetleyici (PLC) yazılımı çalıştıran üretim bilgisayarlarını etkiledi. Başlıca hedefi, ülkenin nükleer programına zarar vermek için İran'ın uranyum zenginleştirme santralleri oldu. Solucan, PLC'lere Siemens Step7 yazılımındaki güvenlik açıklarıyla sızarak PLC'lerin montaj hattı makinelerinde beklenmeyen komutlar gerçekleştirmelerine yol açtı. Stuxnet'in hikayesi daha sonra Zero Days adlı bir belgesele konu oldu.
*Zero-day saldırısı yapmak için kullanılabilecek exploit sitelerini bırakıyorum.
OffSec’s Exploit Database Archive
The Exploit Database - Exploits, Shellcode, 0days, Remote Exploits, Local Exploits, Web Apps, Vulnerability Reports, Security Articles, Tutorials and more.
Vulnerability & Exploit Database - Rapid7
Rapid7's Exploit DB is a repository of vetted computer software exploits and exploitable vulnerabilities. Search over 140k vulnerabilities.
www.rapid7.com
BİR BAŞKA KONUDA TEKRARDAN GÖRÜŞMEK ÜZERE
Son düzenleme:
