Zero Day Saldırısı Nedir?

Zero day saldırıları, siber dünyada, yazılımın geliştiricilerinin dahi henüz farkında olmadığı güvenlik açıklarının kötü niyetli aktörler tarafından keşfedilmesi ve istismar edilmesi durumudur. Bu saldırılar, genellikle mevcut bir düzeltme veya savunmanın bulunmadığı anlarda gerçekleşir ve hazırlıksız yakalanan sistemlerde ciddi zararlar yaratabilir.

Zero day saldırıları, hızlı gerçekleştirilmeleri ve yüksek düzeyde gizlilikle yürütülmeleriyle öne çıkar. Güvenlik açığının fark edilmesi durumunda, genellikle savunma mekanizmaları hızla devreye girer. Ancak bu saldırılar, açık tespit edilmeden önce gerçekleştiği için, kullanıcılar ve sistemler bu tehlikeye karşı tamamen savunmasız kalabilir. Zero day güvenlik açıkları, sistemde yalnızca saldırganın bildiği gizli zayıf noktaları ifade eder. Bu açıklar kullanıldığında, etkili bir savunma olmadığı için saldırılar oldukça etkili ve yıkıcı sonuçlar doğurabilir.

Zero Day Güvenlik Açıkları Nasıl Kullanılır?

Zero day güvenlik açıkları, saldırganlar tarafından yazılım veya sistemlerdeki bilinmeyen bir zayıflıktan faydalanılarak istismar edilir. Saldırganlar, işletim sistemleri, popüler uygulamalar veya donanımlardaki bu açıkları aktif bir şekilde arar ve bulduklarında hızla zero day istismarları geliştirir. Bu istismarlar, genellikle kimlik avı e-postaları, tehlikeye atılmış web siteleri veya zararlı yazılım içeren indirme bağlantıları aracılığıyla yayılır.

Örneğin, saldırganlar, kullanıcıların haberi olmadan bir casus yazılım yüklenmesini sağlayan bir yazılım açığından yararlanabilir. Masum görünümlü bir e-posta eki veya bir dosya indirmesi, bu tür saldırıların taşıyıcısı olabilir. Bu süreçte, saldırgan hassas bilgilere erişebilir ya da sistemi tamamen kontrol altına alabilir. Bu sırada yazılım geliştiricileri, güvenlik açığını tespit ederek yamaları hazırlamak için zamanla yarışırlar. Ancak yama uygulanana kadar, kullanıcılar ve sistemler bu tehlikeli saldırılara karşı savunmasız kalmaya devam eder.

Zero Day Saldırıları Nelerdir ve Nasıl Çalışır?

Yazılımlar genellikle bilgisayar korsanlarının tahribat yaratmak için istismar edebileceği güvenlik açıklarına sahiptir. Yazılım geliştiricileri her zaman “yama” yapacakları güvenlik açıklarını ararlar yani yeni bir güncellemede yayınlayacakları bir çözüm geliştirirler.

Ancak bazen bilgisayar korsanları veya kötü niyetli aktörler, yazılım geliştiricilerinden önce açığı tespit eder. Açıklık hala açıkken, saldırganlar bundan faydalanmak için bir kod yazıp uygulayabilir. Bu, istismar kodu olarak bilinir.

İstismar kodu, yazılım kullanıcılarının kurban edilmesine yol açabilir örneğin, kimlik hırsızlığı veya diğer siber suç biçimleri yoluyla. Saldırganlar sıfırıncı gün açığını tespit ettiklerinde, savunmasız sisteme ulaşmanın bir yoluna ihtiyaç duyarlar. Bunu genellikle sosyal olarak tasarlanmış bir e-posta yoluyla yaparlar yani, bilinen veya meşru bir muhataptan geldiği varsayılan ancak aslında bir saldırgandan gelen bir e-posta veya başka bir mesaj. Mesaj, bir kullanıcıyı bir dosyayı açma veya kötü amaçlı bir web sitesini ziyaret etme gibi bir eylem gerçekleştirmeye ikna etmeye çalışır. Bunu yapmak, saldırganın kötü amaçlı yazılımını indirir ve bu da kullanıcının dosyalarına sızar ve gizli verileri çalar.

Bir güvenlik açığı bilindiğinde, geliştiriciler saldırıyı durdurmak için yama yapmaya çalışırlar. Ancak, güvenlik açıkları genellikle hemen keşfedilmez. Geliştiricilerin saldırıya yol açan güvenlik açığını tespit etmesi bazen günler, haftalar hatta aylar alabilir. Ve sıfırıncı gün yaması yayınlandığında bile, tüm kullanıcılar bunu hemen uygulamaz. Son yıllarda, bilgisayar korsanları güvenlik açıklarını keşfedildikten hemen sonra istismar etmede daha hızlı hale geldi.

Exploit’ler karanlık web’de büyük miktarlarda para karşılığında satılabilir . Bir exploit keşfedilip düzeltildiğinde artık sıfır günlük tehdit olarak adlandırılmaz.

Zero day saldırıları özellikle tehlikelidir çünkü bunları bilen tek kişiler saldırganların kendileridir. Bir ağa sızdıklarında, suçlular ya hemen saldırabilir ya da oturup bunu yapmak için en avantajlı zamanı bekleyebilirler.

Zero Day Saldırılarına Örnekler

Zero day saldırılarından bahsettiğimizde, gerçek dünya örnekleri genellikle bu kavramı canlandırır. Bu saldırılar yalnızca teorik değildir; çeşitli sektörlerde önemli kesintilere ve hasara neden olmuştur. Sıfır gün zafiyetlerinin istismar edildiği ve sonuçlarının çok kapsamlı olduğu bazı önemli vakalara bir göz atalım.

• Stuxnet

Zero day saldırılarının en kötü şöhretli örneklerinden biri, İran’ın nükleer tesislerini hedef alan karmaşık bir solucan olan Stuxnet’tir. Stuxnet, Siemens endüstriyel kontrol sistemlerindeki dört farklı sıfır gün açığını istismar etti. Virüslü USB sürücüler aracılığıyla yayıldı ve sonunda operatörlere normal okumalar gösterirken işlemlerini değiştirerek santrifüjlere kritik hasar verdi ve bu savunmasız sistemi bu saldırı için birincil hedef haline getirdi.

• Sony Resimleri Hilesi

2014’teki Sony Pictures saldırısı da önemli bir örnektir. Bilgisayar korsanları, Sony’nin ağına sızmak için sıfır günlük güvenlik açıklarını istismar ederek büyük miktarda veriyi çalıp sızdırdılar. Bu saldırı, bu tür güvenlik açıklarının büyük kuruluşlar üzerinde yaratabileceği ciddi etkiyi vurgulayarak, yazılım satıcılarının sağlam güvenlik uygulamaları ve hızlı yanıt stratejileri sürdürmeleri için kritik bir ihtiyaç olduğunu vurguladı.

• Zoom Güvenlik Açıkları

COVID-19 salgını sırasında Zoom herkesin bildiği bir isim haline geldi, ancak sorunsuz değildi. Yazılımda, bilgisayar korsanlarının kullanıcıların cihazlarını kontrol altına almasına izin verebilecek birkaç sıfır günlük güvenlik açığı keşfedildi. Neyse ki Zoom, güvenlik yamalarıyla hızlı bir şekilde yanıt verdi, ancak bu olay uzaktan çalışma ortamında yaygın olarak kullanılan yazılımlarla ilişkili riskleri vurguladı.

Zero Day Saldırılarını Kimler Gerçekleştiriyor?

Zero day saldırıları gerçekleştiren kötü niyetli aktörler, motivasyonlarına bağlı olarak farklı kategorilere ayrılır. Örneğin:

Siber suçlular, motivasyonları genellikle maddi kazanç olan bilgisayar korsanları

Hacktivistler, siyasi veya sosyal bir amaç güden, saldırıların görünür olmasını ve amaçlarına dikkat çekilmesini isteyen hackerlar

Kurumsal casusluk, şirketler hakkında bilgi edinmek için şirketleri gözetleyen bilgisayar korsanları

Siber savaş, ülkelerin veya siyasi aktörlerin başka bir ülkenin siber altyapısını gözetlemesi veya saldırması

Zero Day Saldırılarının Hedefleri Kimlerdir?

Zero day saldırısı, aşağıdakiler de dahil olmak üzere çeşitli sistemlerdeki güvenlik açıklarını istismar edebilir:

• İşletim sistemleri
• Web tarayıcıları
• Ofis uygulamaları
• Açık kaynaklı bileşenler
• Donanım ve donanım yazılımı
• Nesnelerin İnterneti (IoT)

Sonuç olarak, potansiyel mağdurların yelpazesi geniştir:

Tarayıcı veya işletim sistemi gibi savunmasız bir sistem kullanan kişiler Bilgisayar korsanları, cihazları tehlikeye atmak ve büyük botnet’ler oluşturmak için güvenlik açıklarından yararlanabilir

• Fikri mülkiyet gibi değerli iş verilerine erişimi olan kişiler
• Donanım aygıtları, aygıt yazılımları ve Nesnelerin İnterneti
• Büyük işletmeler ve kuruluşlar
• Devlet kurumları
• Siyasi hedefler ve/veya ulusal güvenlik tehditleri

Hedefli ve hedefsiz sıfırıncı gün saldırıları açısından düşünmek faydalıdır:

Hedefli sıfırıncı gün saldırıları, büyük kuruluşlar, devlet kurumları veya yüksek profilli kişiler gibi potansiyel olarak değerli hedeflere karşı gerçekleştirilir.

Hedefsiz sıfırıncı gün saldırıları genellikle işletim sistemi veya tarayıcı gibi güvenlik açığı bulunan sistemlerin kullanıcılarına yönelik yapılır.

Saldırganlar belirli kişileri hedef almasa bile, çok sayıda kişi zero day saldırılarından etkilenebilir, genellikle ikincil hasar olarak. Hedefsiz saldırılar mümkün olduğunca çok sayıda kullanıcıyı yakalamayı amaçlar, bu da ortalama bir kullanıcının verilerinin etkilenebileceği anlamına gelir.

Zero Day Saldırıları Nasıl Belirlenir?

Zero day zafiyetleri birden fazla form alabildiğinden (eksik veri şifrelemesi, eksik yetkilendirmeler, bozuk algoritmalar, hatalar, parola güvenliği sorunları vb.) tespit edilmeleri zor olabilir. Bu tür zafiyetlerin doğası gereği, zero day zafiyetleri hakkında ayrıntılı bilgiler yalnızca zafiyet tanımlandıktan sonra elde edilebilir.

Sıfır günlük bir istismar tarafından saldırıya uğrayan kuruluşlar, bir istemciden veya hizmetten kaynaklanan beklenmeyen trafik veya şüpheli tarama etkinliği görebilir. Sıfır günlük tespit tekniklerinden bazıları şunlardır:

Mevcut kötü amaçlı yazılım veritabanlarını ve bunların nasıl davrandığını referans olarak kullanmak. Bu veritabanları çok hızlı bir şekilde güncellense ve referans noktası olarak faydalı olabilse de, tanım gereği sıfırıncı gün istismarları yeni ve bilinmeyendir. Dolayısıyla mevcut bir veritabanının size ne kadar bilgi verebileceğinin bir sınırı vardır.

Alternatif olarak, bazı teknikler hedef sistemle nasıl etkileşime girdiklerine göre sıfırıncı gün kötü amaçlı yazılım özelliklerini arar. Bu teknik, gelen dosyaların kodunu incelemek yerine, mevcut yazılımlarla olan etkileşimlerine bakar ve bunların kötü amaçlı eylemlerden kaynaklanıp kaynaklanmadığını belirlemeye çalışır.

Giderek artan bir şekilde, makine öğrenimi, sistemle geçmiş ve mevcut etkileşimlerin verilerine dayalı olarak güvenli sistem davranışı için bir temel oluşturmak amacıyla daha önce kaydedilmiş istismarlardan gelen verileri tespit etmek için kullanılır. Mevcut veri ne kadar fazlaysa, tespit o kadar güvenilir hale gelir.

Çoğunlukla farklı tespit sistemlerinin bir karışımı kullanılır.

Zero Day Saldırılarına Karşı Savunma

Sıfır günlük istismarlara karşı savunma yapmak zordur çünkü tespit edilmeleri çok zordur. Güvenlik açığı tarama yazılımı, şüpheli kodu bilinen kötü amaçlı yazılımların imzalarıyla karşılaştırmak için kötü amaçlı yazılım imza denetleyicilerine güvenir; kötü amaçlı yazılım daha önce karşılaşılmamış bir sıfır günlük istismarı kullandığında, bu tür güvenlik açığı tarayıcıları kötü amaçlı yazılımı engellemede başarısız olur.

Tanımı gereği, sıfırıncı gün zafiyeti önceden bilinemeyeceğinden, belirli bir istismara karşı, gerçekleşmeden önce korunmanın bir yolu yoktur. Ancak, şirketlerin risk maruziyet seviyelerini ve güvenlik risklerini azaltmak için yapabilecekleri bazı şeyler vardır. Bunlar şunları içerir:

• Ağ segmentasyonu, zero day saldırılarını önlemek için şirketler, ağın bazı alanlarını ayırmak için sanal yerel alan ağlarını kullanabilir veya sunucular arasında akan hassas bilgileri izole etmek için özel fiziksel veya sanal ağ segmentleri kullanabilir.
• Şifreleme, kuruluşlar, ağ trafiğine şifreleme ve kimlik doğrulama uygulamak için IPsec, yani İnternet Protokolü ( IP ) güvenlik protokolünü kullanabilir .
• IDS ve IPS, bir IDS veya IPS’yi dağıtmak sıfırıncı gün saldırılarına karşı yardımcı olabilir. İmza tabanlı IDS ve IPS güvenlik ürünleri saldırıyı tanımlayamasa da, saldırının yan etkisi olarak ortaya çıkan kötü niyetli faaliyetler konusunda savunucuları uyarabilir.
• Ağ erişim kontrolü, kuruluşlar, kötü amaçlı makinelerin kurumsal ortamın kritik bölümlerine erişmesini önlemek için ağ erişim kontrolünü kullanmalıdır.
• Kablosuz erişim noktalarını güvence altına almak, kablosuz erişim noktalarını kilitlemek ve kablosuz tabanlı saldırılara karşı maksimum koruma için Wi-Fi Protected Access (WPA) 2 gibi bir güvenlik şeması kullanmak sıfırıncı gün saldırılarını azaltmaya yardımcı olabilir.
• Sistem yamaları ve güncellemeleri, tüm sistemler yamalanmış ve güncel olmalıdır. Yamalar sıfır günlük bir saldırıyı durdurmayacak olsa da, ağ kaynaklarının tamamen yamalanmış halde tutulması böyle bir saldırının başarılı olmasını zorlaştırabilir. Sıfır günlük veya n günlük bir yama kullanılabilir olduğunda, kuruluşlar bunu mümkün olan en kısa sürede uygulamalıdır.
• Güvenlik açığı taraması, şirketler ayrıca kurumsal ağlara karşı düzenli güvenlik açığı taraması yapmalı ve keşfedilen tüm güvenlik açıklarını kilitlemelidir.
• Yeni nesil antivirüs (NGAV) seçenekleri, geleneksel antivirüs yazılımları, kötü amaçlı yazılımları tespit etmek için imza tabanlı tespit yöntemleri gibi bilinen niceleyicilere güvenir. Ancak, sıfırıncı gün kötü amaçlı yazılımlarının bilinmeyen doğasına karşı koruma sağlamak için kuruluşlar, sıfırıncı gün kötü amaçlı yazılımlarını tespit etmek için makine öğrenimini kullanan NGAV seçeneklerini kullanabilir.
• Çalışma zamanı uygulama kendini koruma. RASP, zero day saldırı azaltma ve savunmasındaki en son gelişmedir. RASP ajanları uygulamalara gömülüdür, meşru ve kötü amaçlı istekler arasında ayrım yapmak için çalışma zamanı sırasında uygulama koduyla birlikte istek yüklerini analiz ederek uygulamaların kendilerini korumasını sağlar.
• Tehdit istihbaratı, kuruluşlar, ortaya çıkan tehditler ve sıfırıncı gün zafiyetleri hakkında bilgi sahibi olmak için tehdit istihbaratı beslemelerini ve bilgi paylaşım topluluklarını kullanabilir. Kuruluşlar, sıfırıncı gün saldırılarıyla ilgili tehlike göstergelerini etkin bir şekilde izleyerek bu tür tehditlere karşı etkili bir şekilde savunma sağlayabilir.

Daha fazla bilgi ve PoC için bizimle iletişime geçebilirsiniz.