Keşif Aşaması Nedir ve Neden Kritiktir?
Keşif aşaması, saldırganın hedef sistemi tanımaya çalıştığı en erken ve en sessiz fazdır. Bu aşamada amaç:
- Hedefin teknik kapasitesini anlamak
- Savunma mekanizmalarını tespit etmek
- En az dirençle en fazla etkiyi yaratacak yolu belirlemek
Saldırganlar için ransomware, son hamledir. Asıl emek, bu hamleden önce harcanır.
Açık Kaynak İstihbaratı (OSINT) Toplama
Saldırganlar çoğu zaman sisteme girmeden önce, tamamen herkese açık kaynaklardan bilgi toplar.
Toplanan Bilgiler
- Alan adları ve alt alan adları
- Kullanılan teknolojiler
- Çalışan e-posta formatları
- Organizasyon yapısı
Kaynaklar
- Kurumsal web sitesi
- LinkedIn profilleri
- GitHub, GitLab gibi kod platformları
- Veri sızıntısı arşivleri
Savunma Açısından Önem
Fazla teknik detay paylaşan web siteleri ve sosyal medya hesapları, saldırgan için ücretsiz keşif aracıdır.
Dışa Açık Servislerin Haritalanması
Saldırganlar, hedef kuruma ait internet üzerinden erişilebilen sistemleri analiz eder.
Odaklanılan Noktalar
- VPN servisleri
- Web uygulamaları
- Mail sunucuları
- Uzaktan erişim servisleri
Amaç, en zayıf giriş noktasını tespit etmektir.
Risk
Güncel olmayan, yanlış yapılandırılmış veya unutulmuş bir servis, tüm ağın kapısını açabilir.
Kimlik Bilgisi Toplama ve Doğrulama
Ransomware saldırılarının büyük bir kısmı, geçerli kullanıcı hesapları üzerinden başlar.
Yaygın Yöntemler
- Daha önce sızdırılmış e-posta/parola kombinasyonlarının test edilmesi
- Phishing ile elde edilen bilgiler
- Zayıf parola politikalarının istismarı
Neden Önemli?
Geçerli bir hesap kullanıldığında:
- Güvenlik sistemleri alarm üretmeyebilir
- Erişim “meşru kullanıcı” gibi görünür
Güvenlik Kontrollerinin Analizi
Saldırganlar, hedef ağda hangi güvenlik çözümlerinin kullanıldığını anlamaya çalışır.
İncelenen Unsurlar
- Endpoint güvenlik çözümleri
- EDR / XDR varlığı
- Loglama ve izleme mekanizmaları
- Ağ segmentasyonu
Amaç, tespit edilmeden ilerleyebilecekleri bir yol bulmaktır.
İç Ağ Yapısının Zihinsel Haritasını Çıkarma
Saldırgan henüz ransomware çalıştırmadan önce, ağın nasıl yapılandığını anlamak ister.
Öğrenilmeye Çalışılanlar
- Kritik sunucuların konumu
- Dosya sunucuları
- Yedekleme sistemleri
- Etki alanı yapısı
Bu bilgiler, saldırının en yıkıcı noktada başlatılmasını sağlar.
Yetki Seviyelerinin ve Hedeflerin Belirlenmesi
Keşif aşamasının en kritik adımlarından biri, hangi hesapların daha değerli olduğunu belirlemektir.
Hedeflenen Hesaplar
- Domain admin benzeri yüksek yetkili hesaplar
- IT personeli hesapları
- Backup sistemlerine erişimi olan kullanıcılar
Yüksek yetki, daha kısa sürede daha büyük hasar anlamına gelir.
Yedekleme ve Kurtarma Kabiliyetinin Değerlendirilmesi
Modern ransomware grupları, yedekleri devre dışı bırakmadan saldırıyı başlatmaz.
Keşif Soruları
- Yedekler nerede tutuluyor?
- Offline veya immutable backup var mı?
- Geri dönüş süresi ne kadar?
Amaç, kurumu fidye ödemeye mecbur bırakmaktır.
Sessiz Kalma ve Sabır Stratejisi
Keşif aşamasında saldırganlar:
- Düşük hızda hareket eder
- Gürültü üretmez
- Alışılmış kullanıcı davranışlarını taklit eder
Bu nedenle keşif fazı, en zor tespit edilen dönemdir.
Kurumlar Keşif Aşamasını Nasıl Fark Edebilir?
Erken Uyarı Göstergeleri
- Normal dışı ama başarısız giriş denemeleri
- Farklı ülkelerden gelen login talepleri
- Daha önce kullanılmayan hesapların aktifleşmesi
- Anormal ağ tarama aktiviteleri
Alınabilecek Önlemler
- MFA zorunluluğu
- Merkezi loglama ve SIEM
- Anomali tabanlı izleme
- Periyodik erişim gözden geçirme
Sonuç: Ransomware Bir An Değil, Bir Süreçtir
Ransomware saldırısı, tek bir tıklama ile başlamaz. Asıl savaş, fidye yazılımı çalıştırılmadan önce verilir. Keşif aşamasını fark edebilen kurumlar, saldırıyı henüz başlamadan durdurabilir.
Unutulmamalıdır ki:
Ransomware’in en pahalı kısmı fidye değil, hazırlıksız yakalanmaktır.
Ransomware Öncesi Keşif Aşaması: Saldırgan Ağa Girmeden Önce Ne Yapar?