Gün geçtikçe artan siber saldırıların verdiği zararlar artarken, özellikle ticari kuruluşlar, bu saldırganların nedenleri, nasıl çalıştıkları, saldırıkalıpları ve nasıl bir organizasyon içinde yer aldıkları gibi konuları daha çok araştırmaya başladılar. Bu konuda geçtiğimiz günlerde FireEye isimli bir güvenlik firması tarafından “Dijital Ekmek Kırıntıları : Gelişmiş Siber Saldırıların Arkasındakileri Belirlemek için 7 İpucu (Digital Bread Crumbs: Seven Clues To Identifying Who’s Behind Advanced Cyber Attacks) başlıklı bir rapor yayınlandı[1]. Raporu turk-internet.com okuyucuları için inceledik.
Rapor ileri saldırıları bıraktıkları izler üzerinden, yöntemleri, hareket tarzı ve teknikleri ile analiz ediyor. Rapora göre saldırganlar kullandıkları kötücül kodları, phishing emailleri ya da kumanda-ve-kontrol (command-and-control) sunucuları içinde bir yerlerde kendilerinden bir şeyleri belli ediyor. Bunu FireEye kurucusu Aziz Ashar şöyle özetliyor : “Aynen adli bilişimde DNA, parmak izi ya da fiber analizi kullanıldığı gibi, ileri siber saldırılarda da noktaları birleştirmek mümkün. Bu yolla en karmaşık aktörleri ya da hangi ülkeden olduklarını görebiliriz. Ashar’ın siber saldırganları belirlemek için kullandığı 7 ipucu ise şöyle sıralanıyor:
Klavye düzeni : Rapor siber saldırganların klavye düzeni ile tespit edilebileceğini belirtiyor. Phishing saldırılarında saldırganın klavye seçiminin yani dil ve bölge durumunun görülebileceğini kaydediyor.Gerçi çoğu saldırıda standart klavye kullanıyormuş ama eğer kullanılmamışsa, saldırganın kimliğini tespit etmenin bir yolu bu.
Kötücül Kodun düzeni : Saldrganı tanımlamanın bir yolu da kullandığı kod kaynağı. Bu da saldırganın dili, ülkesi ve diğer saldırılarla ilişkisi gibi detayları sağlayabiliyor. Örnek olarak, kod kaynağının incelenmesi sonucunda Çin’li “Yorum Ekibi” denen ünlü bir hacker grubunun daha önce ABD hükümetine yapılan önceki saldırılarla bağlantısı tespit edilmiş.
Gömülü Font’lar : Phishing emaillerinde kullanılan bu tür fontlar saldırının geldiği yeri gösterir. Yazı tiplerinin saldırganın ana dilinde kullanılmasa bile bu durumun geçerli olduğu belirtiliyor.
DNS Kaydı : Saldırganları tanımlamanın diğer bir yolu ise DNS kayıtları. Saldırıda kullanılan domain’ler saldırganın yerini tanımlar. Raporda DNS kayıtlarının sahte isim ve adreslerle yapılması durumunda bile, bunların yardımcı olabildiğini belirtiyor. Bazı durumlarda Saldırganın aynı sahte iletişim bilgilerini birden fazla domain’de kullandığı da görülüyor. Bu da saldırganın geçmişte yaptığı saldırıların ya da saldırganların birbirine bağlanmasına yardımcı oluyor.
Dil : Kötücül koda gömülen dil genellikle saldırganın ülkesini bulmakta çok yararlıdır. Gnellikle saldırganın kullandığı dilin kendi anadili olup olmadığını gösteren bazı işaretler de vardır. Belirgin yazım ve imla hataları açık göstergedir. Diğer durumlarda, daha detaylı bir analiz yapılırsa, saldırganın bir çeviri sitesi kullandığını gösteren işaretler de bulunabilir. Phishing emaillerindeki genel lisan hataları bazen ters mühendislikle saldırganın ana dilini belirlemekte de kullanılabilir. Çünkü bazı çeviri sitelerinde bazı kelimeler ve ifadeler, belli şekilde çevrilebiliyor.
Uzaktan Yönetim Araçları: Popüler kötü amaçlı yazılım-oluşturma araçları bazı yapılandırma seçenekleri içerir. Saldırganların bu seçenekleri kullanma yöntemleri kendilerine özeldir. Hani her yiğidin bir yoğurt yiyişi var derler ya, o hesap. İşte bunlar da uzmanlar tarafından saldırganın kimliğini tespit etmekte kullanılabilir. Uzaktan Yönetim Araçları (Remote Administration Tools – RAT) saldırganların hedef bilgisayar üzerinde gerçek zamanlı kontrol sağlarar. Bunlar klavye tuşları kaydetme, video yakalama, dosya transferi, sistemin yönetimini ele geçirme, komut kabuğuna erişim gibi bir seri özelliği sağlarlar. RAT’ı herhangi birisi kullanabildiği için RAT ile saldırdan saldırganı anlamak daha zordur. Bazen de aynı konfigürasyonu kullanan pek çok saldırgan, pek çok saldırı yapabiliyor. Yine de saldırganın yöntemleri bazen ayırdedilebilir oluyor.
Davranış kalıpları : Saldırganların hareket tarzları da bazen ayıredici olabiliyor. Örneğin, aynı hedeflere odaklanmak, aynı CnC sunucularını kullanmak ya da aynı sanayiye odaklanmak gibi. Bu tekrarlanan taktik yaklaşımları, hedefleri ve saldırganların nerede olduğunu ortaya çıkarabilir. Fiziksel hayatta detektiflerin potansiyel suçluları takip ederek profillemesi gibi sanal dünyadaki güvenlik uzmanları da saldırganları zaman ve not desenleri üzerinden takip ediyorlar. Bu bilgiler zaman içinde ve bir boşluk verdiğinde, siber saldırganların yakalanmasına yarayabilir.
Rapor, yukarıda sayılanların saldırgan için kesin delil olmadığını ama güvenlik uzmanlarına saldırı yöntem ve motivasyonunu anlamak konusunda yardımcı olabileceğini kaydediyor.
[1] Digital Bread Crumbs: Seven Clues To Identifying Who’s Behind Advanced Cyber Attacks
Kaynak : 